CVE-2018-17153 in My Cloudالمعلومات

الملخص

بحسب VulDB • 13/06/2026

تم اكتشاف أن أجهزة Western Digital My Cloud حتى الإصدار 2.30.x تعاني من ثغرة تجاوز المصادقة. يمكن لمهاجم غير مصرح له استغلال هذه الثغرة للمصادقة بصفتها مستخدم مدير (admin) دون الحاجة إلى تقديم كلمة مرور، مما يمنحه السيطرة الكاملة على الجهاز. (عندما يسجل أي مستخدم مدير الدخول إلى My Cloud، يتم إنشاء جلسة على جانب الخادم تكون مرتبطة بعنوان IP الخاص بالمستخدم. بعد إنشاء الجلسة، من الممكن استدعاء وحدات CGI التي تتطلب مصادقة عن طريق إرسال ملف تعريف الارتباط (cookie) username=admin في طلب HTTP. تقوم وحدة CGI المستدعية بالتحقق مما إذا كانت الجلسة سارية المفعول ومرتبطة بعنوان IP الخاص بالمستخدم.) وُجد أنه من الممكن لمهاجم غير مصرح له إنشاء جلسة صالحة دون تسجيل الدخول. تحتوي وحدة CGI المسماة network_mgr.cgi على أمر يسمى "cgi_get_ipv6" يبدأ جلسة مدير (admin) -- مرتبطة بعنوان IP الخاص بالمستخدم الذي يرسل الطلب -- إذا تم توفير المعلمة الإضافية "flag" بالقيمة "1". تنجح استدعاءات الأوامر اللاحقة التي تتطلب عادةً امتيازات مدير إذا قام المهاجم بتعيين ملف تعريف الارتباط username=admin.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

حجز

18/09/2018

إفشاء

18/09/2018

الاعتدال

تمت الموافقة

إدخال

VDB-124222

CPE

جاهز

CWE

CWE-287 (مؤكد)

CVSS

9.8 (NVD)

EPSS

0.91953

KEV

لا

النشاطات

منخفض جدًا

القطاع

Chemical, Industry, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2018-17153
NVD	https://nvd.nist.gov/vuln/detail/CVE-2018-17153
CVE Details	https://www.cvedetails.com/cve/CVE-2018-17153/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!