Vulnerabilidad en Western Digital My Cloud Home, My Cloud Home Duo y dispositivos SanDisk ibi (CVE-2022-29836)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
09/11/2022
Última modificación:
15/11/2022
Descripción
Se descubrió una vulnerabilidad de limitación inadecuada de un nombre de ruta a un Restricted Directory ("Path Traversal") a través de una API HTTP en Western Digital My Cloud Home; My Cloud Home Duo; y dispositivos SanDisk ibi que podrían permitir a un atacante abusar de ciertos parámetros para señalar ubicaciones aleatorias en el sistema de archivos. Esto también podría permitir al atacante iniciar la instalación de paquetes personalizados en estas ubicaciones. Esto sólo puede explotarse una vez que el atacante se haya autenticado en el dispositivo. Este problema afecta a: versiones de Western Digital My Cloud Home y My Cloud Home Duo anteriores a 8.11.0-113 en Linux; Versiones de SanDisk ibi anteriores a 8.11.0-113 en Linux.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:westerndigital:my_cloud_home_firmware:*:*:*:*:*:*:*:* | 8.11.0-113 (excluyendo) | |
| cpe:2.3:h:westerndigital:my_cloud_home:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:westerndigital:my_cloud_home_duo_firmware:*:*:*:*:*:*:*:* | 8.11.0-113 (excluyendo) | |
| cpe:2.3:h:westerndigital:my_cloud_home_duo:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:westerndigital:sandisk_ibi_firmware:*:*:*:*:*:*:*:* | 8.11.0-113 (excluyendo) | |
| cpe:2.3:h:westerndigital:sandisk_ibi:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página