Informazioni sul CVE-2022-22990
Limited authentication bypass vulnerability on Western Digital My Cloud devices
CWE ID: CWE-287
Base Score (CVSS): N/A
CVE: CVE-2022-22990
Descrizione: A limited authentication bypass vulnerability was discovered that could allow an attacker to achieve remote code execution and escalate privileges on the My Cloud devices. Addressed this vulnerability by changing access token validation logic and rewriting rule logic on PHP scripts.
Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://www.westerndigital.com/support/product-security/wdc-22002-my-cloud-os5-firmware-5-19-117
- https://www.zerodayinitiative.com/advisories/ZDI-22-076/
- https://www.zerodayinitiative.com/advisories/ZDI-22-347/
Prodotti interessati
- Western Digital – My Cloud
Relazioni con altri prodotti
Produttore:Western Digital
Prodotto: My Cloud
Anno: 2022
CWE: CWE-287
CVSS: 0.0