Kritická zraniteľnosť v sieťových úložiskách WD My Cloud umožňuje vzdialené vykonanie kódu

Spoločnosť Western Digital vydala aktualizácie firmvéru viacerých modelov zariadení NAS (Network Attached Storage) série My Cloud, ktoré opravujú kritickú zraniteľnosť. CVE-2025-30247 možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• NAS zariadenia Western Digital My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror Gen 2, My Cloud EX2100, My Cloud WDBCTLxxxxxx-10, My Cloud s firmvérom vo verziách starších ako 5.31.108
• NAS zariadenia Western Digital My Cloud DL2100, My Cloud DL4100 vo všetkých verziách firmvéru (jedná sa o produkty s ukončenou podporou)

Opis zraniteľnosti:

CVE-2025-30247 (CVSSv4.0 skóre 9,3)

Kritická zraniteľnosť sa nachádza v používateľskom rozhraní a spočíva v nedostatočnom overovaní používateľských vstupov. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek HTTP POST mohol zneužiť na injekciu príkazov operačného systému a získanie úplnej kontroly nad systémom.

Možné škody:

• Vzdialené vykonanie príkazov
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu firmvéru NAS na verziu 5.31.108. Medzi zraniteľnými modelmi sú aj dva s ukončenou technickou podporou (My Cloud DL4100, My Cloud DL2100). V prípade týchto zariadení odporúčame urýchlenú migráciu na alternatívne produkty s platnou podporou. Zraniteľnosť je možné dočasne mitigovať aj odpojením zariadenia od internetu.

Zdroje:

• https://www.westerndigital.com/support/product-security/wdc-25006-western-digital-my-cloud-os-5-firmware-5-31-108
• https://nvd.nist.gov/vuln/detail/cve-2025-30247
• https://www.bleepingcomputer.com/news/security/critical-wd-my-cloud-bug-allows-remote-command-injection/