Western Digital corrige un error crítico de los dispositivos NAS My Cloud

Western Digital ha publicado una actualización de su producto NAS My Cloud, que subsana una vulnerabilidad crítica que permitiría a un atacante no autenticado realizar ejecución remota de código (RCE) con privilegios de usuario root.

La vulnerabilidad CVE-2021-44142 de severidad crítica, con una puntuación asignada de 9.9. Esta vulnerabilidad se debe a una falla de programación en la lectura y escritura del heap de memoria, esto es debido a un error de límite al procesar los metadatos de EA al abrir archivos de SMBD dentro del módulo VFS Samba (vfs_fruit). Un atacante no autenticado podría explotar esta vulnerabilidad y realizar ejecución remota de código (RCE) en el sistema afectado.

La explotación requiere que el atacante no autenticado tenga permitido el acceso de escritura a los atributos extendidos del archivo. Esta vulnerabilidad se solucionó eliminando el módulo VFS «fruit» de la lista de objetos VFS configurados y cambiando las configuraciones de compatibilidad con EA.

Los softwares afectados son:

  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX4100
  • My Cloud EX2 Ultra
  • My Cloud Mirror Gen 2
  • My Cloud DL2100
  • My Cloud DL4100
  • My Cloud EX2100
  • My Cloud
  • WD Cloud

Recomendamos instalar las actualizaciones correspondientes, mediante el siguiente enlace:

Referencias:

Compartir: