Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/01/2018

Vulnerabilidad detectada en Seagate Media Server

El fallo podría permitir el borrado aleatorio de ficheros y carpetas.

La aplicación Seagate Media Server se utiliza para acceder a los ficheros de los dispositivos de almacenamiento NAS de Seagate Personal Cloud. Dicha aplicación permite el acceso sin autenticación para cargar archivos en una carpeta pública.

El problema reside en que cualquier url terminada en "psp" se puede procesar y, por ejemplo, las vistas de borrado ("delete") son accesibles para cualquier usuario, incluso sin estar logado.

Además, se podría aprovechar este problema a través de una página web maliciosa sin necesitar acceso directo al NAS.

Sistemas Afectados:

Dispositivos con firmware 4.3.16.0

Referencias:

None

Solución:

Actualizar a la versión 4.3.18.0

Notas:

Hispasec

CSIRT-CV