01
漏洞描述
西部数据公司(Western Digital Corp,WDC),是一家全球知名的硬盘厂商,在世界各地设有分支机构,为全球用户提供存储产品。西数提供广泛的技术产品,包括面向数据中心的存储系统、平台和数据中心硬盘;在移动性终端与计算环境中提供用于车载、互联家庭、工业与IOT、智能手机和平板、监控的移动闪存卡;以及用于计算、企业、游戏、NAS和监控的内置硬盘。
近期,WDC被公布出存在代码执行漏洞。攻击者可摸索出SMB和AFP在其默认配置中提供的原语组合。所谓原语,一般是指由若干条指令组成的程序段,用来实现某个特定功能,在执行过程中不可被中断。通过利用这些原语组合,从而导致执行任意代码。
02
漏洞危害
攻击者发送恶意代码,对目标执行各种操作,包括执行恶意软件、数据泄露。获取企业敏感信息,继承Web服务器权限,读写文件。甚至控制整个网站甚至服务器。
03
影响范围
My Cloud PR2100 < 5.19.117
My Cloud PR4100 < 5.19.117
My Cloud EX4100 < 5.19.117
My Cloud EX2 Ultra < 5.19.117
My Cloud Mirror Gen 2 < 5.19.117
My Cloud DL2100 < 5.19.117
My Cloud DL4100 < 5.19.117
My Cloud EX2100 < 5.19.117
My Cloud < 5.19.117
WD Cloud < 5.19.117
My Cloud Home < 7.16-220
04
漏洞等级
严重
05
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用:
https://www.westerndigital.com/support/product-security/wdc-22005-netatalk-security-vulnerabilities
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Western Digital 代码执行漏洞 (CVE-2022-22995)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论