Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/01/2018
Las vulnerabilidades descubiertas permitían entre otras cosas el salto de restricciones para subir ficheros al dispositivo (CVE-2017-17560), ataques de tipo XSRF, inyección de código y denegaciones de servicio o la revelación de información sensible del dispositivo.
Las vulnerabiilidades han sido corregidas en la nueva versión del producto.
Puedes encontrar más información en el siguiente enlace.
Sistemas Afectados:Versiones anteriores 2.30.174
Referencias:(CVE-2017-17560)
Solución:Actualizar a la nueva versión
Notas:Más información:
WDMyCloud Multiple Vulnerabilities
http://gulftech.org/advisories/WDMyCloud%20Multiple%20Vulnerabilities/125
Western Digital My Cloud Update
https://blog.westerndigital.com/western-digital-cloud-update/
Multiple serious vulnerabilitys including Backdoor etc. as disclosed by gulftech.org
https://community.wd.com/t/multiple-serious-vulnerabilitys-including-backdoor-etc-as-disclosed-by-gulftech-org/219436/5
CVE-2017-17560 Detail
https://nvd.nist.gov/vuln/detail/CVE-2017-17560
Western Digital MyCloud - 'multi_uploadify' File Upload (Metasploit)
https://www.exploit-db.com/exploits/43356/
Exploiteers DEFCON25 - WD MyCloud
https://www.exploitee.rs/index.php/Western_Digital_MyCloud#.2Fjquery.2Fuploader.2Fmulti_uploadify.php_.28added_08.2F06.2F2017.29
https://download.exploitee.rs/file/generic/Exploiteers-DEFCON25.pdf