Questa vulnerabilità consente agli aggressori adiacenti alla rete di eseguire codice arbitrario sulle installazioni interessate di Western Digital MyCloud PR4100. L'autenticazione non è necessaria per sfruttare questa vulnerabilità. Il difetto specifico esiste nella gestione delle risposte HTTP fornite al programma ddns-start. Il problema deriva dalla mancanza di una corretta convalida della lunghezza dei dati forniti dall'utente prima di copiarli in un buffer basato su heap a lunghezza fissa. Un utente malintenzionato può sfruttare questa vulnerabilità per eseguire il codice nel contesto dispositivo.
My Cloud OS 5 Firmware 5.29.102 include aggiornamenti per migliorare la sicurezza dei dispositivi My Cloud OS 5 .
CVE-2024-22170
Digitale occidentale
MyCloud PR4100
7.5
Team82 si impegna a segnalare privatamente le vulnerabilità ai fornitori interessati in modo coordinato e tempestivo al fine di garantire la sicurezza dell’ecosistema della sicurezza informatica in tutto il mondo. Per interagire con il fornitore e la comunità di ricerca, Team82 ti invita a scaricare e condividere la nostra Politica sulla divulgazione coordinata. Team82 aderisce a questo processo di segnalazione e divulgazione quando scopriamo vulnerabilità in prodotti e servizi.
Team82 ha inoltre reso disponibile la sua chiave PGP pubblica per il fornitore e la comunità di ricerca per scambiare in modo sicuro e protetto le informazioni sulla vulnerabilità e sulla ricerca con noi.
