Vulnerabilidad en Western Digital (CVE-2023-22817)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
05/02/2024
Última modificación:
13/02/2024
Descripción
Vulnerabilidad de server-side request forgery (SSRF) que podría permitir que un servidor no autorizado en la red local modifique su URL utilizando otra dirección DNS para apuntar al adaptador de loopback. Esto podría permitir que la URL aproveche otras vulnerabilidades en el servidor local. Esto se solucionó corrigiendo las direcciones DNS que hacen referencia al loopback. Este problema afecta a los dispositivos My Cloud OS 5 anteriores a 5.27.161, My Cloud Home, My Cloud Home Duo y SanDisk ibi anteriores a 9.5.1-104.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:westerndigital:my_cloud_pr2100_firmware:*:*:*:*:*:*:*:* | 5.27.161 (excluyendo) | |
cpe:2.3:h:westerndigital:my_cloud_pr2100:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:westerndigital:my_cloud_pr4100_firmware:*:*:*:*:*:*:*:* | 5.27.161 (excluyendo) | |
cpe:2.3:h:westerndigital:my_cloud_pr4100:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:westerndigital:my_cloud_ex4100_firmware:*:*:*:*:*:*:*:* | 5.27.161 (excluyendo) | |
cpe:2.3:h:westerndigital:my_cloud_ex4100:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:westerndigital:my_cloud_ex2_ultra_firmware:*:*:*:*:*:*:*:* | 5.27.161 (excluyendo) | |
cpe:2.3:h:westerndigital:my_cloud_ex2_ultra:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:westerndigital:my_cloud_mirror_g2_firmware:*:*:*:*:*:*:*:* | 5.27.161 (excluyendo) | |
cpe:2.3:h:westerndigital:my_cloud_mirror_g2:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:westerndigital:my_cloud_dl2100_firmware:*:*:*:*:*:*:*:* | 5.27.161 (excluyendo) | |
cpe:2.3:h:westerndigital:my_cloud_dl2100:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:westerndigital:my_cloud_dl4100_firmware:*:*:*:*:*:*:*:* | 5.27.161 (excluyendo) | |
cpe:2.3:h:westerndigital:my_cloud_dl4100:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:westerndigital:my_cloud_ex2100_firmware:*:*:*:*:*:*:*:* | 5.27.161 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página