Компания Western Digital выпустила обновления прошивки для нескольких моделей NAS My Cloud. Обновление исправляет критическую уязвимость, которая могла использоваться для удаленного выполнения произвольных команд.
Уязвимость получила идентификатор CVE-2025-30247 и представляет собой проблему инъекции команд в пользовательском интерфейсе My Cloud. Эксплуатировать баг можно через специально подготовленные HTTP POST-запросы, отправляемые на уязвимые эндпоинты. Об уязвимости Western Digital уведомил ИБ-исследователь под псевдонимом w1th0ut.
В результате производитель выпустил прошивку версии 5.31.108 для устранения проблемы, которая затрагивает все версии моделей:
- My Cloud PR2100;
- My Cloud PR4100;
- My Cloud EX4100;
- My Cloud EX2 Ultra;
- My Cloud Mirror Gen 2;
- My Cloud DL2100;
- My Cloud EX2100;
- My Cloud DL4100;
- My Cloud WDBCTLxxxxxx-10.
Стоит отметить, что два устройства из этого списка (My Cloud DL4100 и My Cloud DL2100) уже достигли окончания срока поддержки, поэтому для них обновления могут быть недоступны. Согласно бюллетеню безопасности компании, меры по устранению проблемы для устаревших продуктов не предусмотрены.
Эксплуатация CVE-2025-30247 для выполнения шелл-команд может привести к несанкционированному доступу к файлам, их изменению, удалению, энумерации пользователей, изменению конфигурации или даже запуску двоичных файлов на уязвимом NAS.
Владельцам устройств My Cloud рекомендуется как можно скорее обновиться до версии 5.31.108. Если немедленное обновление невозможно, рекомендуется отключить устройство от сети до тех пор, пока не будет применен патч.
Пользователи, у которых включены автоматические обновления, должны были получить патч после 23 сентября 2025 года. Рекомендуется убедиться, что на устройстве используется последняя версия прошивки, а в случае необходимости обновить устройство вручную.