Vulnerabilidad en los dispositivos My Cloud de Western Digital (CVE-2022-22993)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
28/01/2022
Última modificación:
18/03/2022
Descripción
Se ha detectado una vulnerabilidad de tipo SSRF limitada en los dispositivos My Cloud de Western Digital que podía permitir a un atacante hacerse pasar por un servidor y llegar a cualquier página del mismo omitiendo los controles de acceso. La vulnerabilidad fue abordada al crear una lista blanca de parámetros válidos
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
8.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:westerndigital:my_cloud_os:*:*:*:*:*:*:*:* | 5.19.117 (excluyendo) | |
cpe:2.3:h:westerndigital:my_cloud:-:*:*:*:-:*:*:* | ||
cpe:2.3:h:westerndigital:my_cloud_dl2100:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:westerndigital:my_cloud_dl4100:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:westerndigital:my_cloud_ex2_ultra:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:westerndigital:my_cloud_ex2100:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:westerndigital:my_cloud_ex4100:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:westerndigital:my_cloud_mirror_gen_2:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:westerndigital:my_cloud_pr2100:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:westerndigital:my_cloud_pr4100:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:westerndigital:wd_cloud:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página