Новости и события » Hi-Tech » Уязвимость в сетевых хранилищах WD MyCloud, позволяющая получить доступ без аутентификации

Уязвимость в сетевых хранилищах WD MyCloud, позволяющая получить доступ без аутентификации

Дата публикации: 20 сентября 2018 | Комментариев: 0

В выпускаемых компанией Western Digital сетевых хранилищах My Cloud выявлена уязвимость (CVE-2018-17153), позволяющая получить доступ к хранимым данным без прохождения аутентификации.

Для входа в web-интерфейс устройства достаточно было отправить запрос к скрипту /cgi-bin/network_mgr.cgi, установив Cookie "username=admin", и система предоставляла доступ с правами администратора не запрашивая пароль входа. Для генерации сессионного ключа для продолжения сеанса с правами администратора достаточно отправить POST-запрос "cmd=cgi_get_ipv6&flag=1" к скрипту network_mgr.cgi. Успешная атака позволяет полностью контролировать настройки устройства, а также читать, модифицировать и удалять любые данные в хранилище.

Компания Western Digital была информирована о проблеме еще в апреле, но до сих пор не выпустила обновления. После пяти месяцев ожидания исследователь счел возможным раскрыть для всех сведения о выявленной уязвимости. Пользователям рекомендуется ограничить доступ к web-интерфейсу MyCloud только для заслуживающих доверие адресов.


Последние новости раздела

Главное на сегодня

Новости часа

Maxtang MAX-N100 - мини-ПК со встроенным блоком питания как у Mac...

Maxtang MAX-N100 - мини-ПК со встроенным блоком питания как у Mac mini

В продажу поступил новый компактный компьютер Maxtang MAX-N100 Mini PC. Единственное, чем он примечателен, это встроенный блок питания как у Mac mini (2024). У большинства современных мини-ПК блок питания внешний, но Maxtang MAX-N100 Mini PC - не тот...

сегодня 15:15

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх