Selon BleepingComputer, Western Digital a publié des mises à jour de firmware pour plusieurs NAS My Cloud afin de corriger une vulnérabilité de sévérité critique permettant l’exécution de commandes système arbitraires à distance.
-Western Digital a corrigé en urgence une faille critique (CVE-2025-30247) affectant de nombreux modèles My Cloud NAS utilisés par les particuliers, les petites entreprises et les bureaux à domicile. Cette vulnérabilité d’injection de commandes dans l’interface web permet à un attaquant distant d’exécuter des commandes arbitraires sur le système, sans authenticité préalable, via des requêtes HTTP POST spécialement conçues.
Toutes les versions de firmware précédant la 5.31.108 sont vulnérables pour les modèles suivants : My Cloud PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen 2, DL2100, EX2100, DL4100 et My Cloud WDBCTLxxxxxx-10. Deux appareils (DL2100 et DL4100) sont en fin de support et n’ont pas de correctif officiel disponible. L’éditeur recommande de désactiver l’accès distant à la console pour réduire l’exposition si le patch ne peut pas être appliqué immédiatement, ou de mettre les appareils hors ligne dans l’intervalle.
Une exploitation réussie de cette faille pourrait entraîner l’accès, la modification ou la suppression non autorisée de fichiers, le changement de configurations, voire la prise de contrôle complète du NAS. Western Digital n’a pas signalé d’exploitation active mais rappelle que des précédentes failles similaires ont été employées pour voler des données, former des botnets ou diffuser des ransomwares.
Les utilisateurs doivent impérativement vérifier que leur NAS My Cloud bénéficie de la version 5.31.108 ou ultérieure. La mise à jour s’effectue soit automatiquement (si l’option est activée), soit manuellement via le tableau de bord de l’appareil en téléchargeant l’image adéquate et en redémarrant l’appareil une fois l’installation terminée
But de l’article : informer de la disponibilité d’un correctif de sécurité pour une vulnérabilité critique affectant des NAS My Cloud. 🛠️
🔗 Source originale : https://www.bleepingcomputer.com/news/security/critical-wd-my-cloud-bug-allows-remote-command-injection/