SK-CERT Bezpečnostné varovanie V20251001-01

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.8

Identifikátor

Western Digital My Cloud Firmware – kritická bezpečnostná zraniteľnosť

Popis

Spoločnosť WESTERN DIGITAL vydala aktualizácie firmwaru viacerých modelov NAS zariadení My Cloud, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostna zraniteľnosť s identifikátorom CVE-2025-30247 sa nachádza v používateľskom rozhraní My Cloud, spočíva v nedostatočnom overovaní používateľských vstupov a vzdialený, neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP POST požiadaviek mohol zneužiť na injekciu príkazov operačného systému a získanie úplnej kontroly nad systémom s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

29.10.2025

CVE

CVE-2025-30247

IOC

–

Zasiahnuté systémy

Western Digital My Cloud OS 5 Firmware pre NAS platformy vo verzii staršej ako 5.31.108 Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v sekcii ZDROJE

Následky

Získanie úplnej kontroly nad zariadením Vykonanie škodlivého kódu Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Zraniteľnosť je možné dočasne mitigovať aj odpojením zariadenia od internetu. Medzi zraniteľnými modelmi sú aj 2 s ukončenou technickou podporou. V prípade týchto zariadení odporúčame urýchlenú migráciu na alternatívne produkty s platnou podporou.

Zdroje

https://www.westerndigital.com/support/product-security/wdc-25006-western-digital-my-cloud-os-5-firmware-5-31-108 https://www.tenable.com/cve/CVE-2025-30247

« Späť na zoznam