Western Digital修补App允许非授权访问文件的重大漏洞

  • HERO英雄883水性勾线笔887油性记号笔标记笔学生儿童绘画勾线黑色蓝色红色描边划线笔马克笔速干涂鸦笔光盘笔
  • Winner稳健湿巾盐水型棉片独立包装一次性消毒级伤口鼻子皮肤清洁
  • kaco菁点路边夜樱中性笔限定新品3支套装黑笔樱花按动水笔套装办公文具学生用考试书写签字碳素笔0.5子弹头
  • 免钉胶钉胶强力胶代粘瓷砖贴家用置物架防霉防水胶水密封胶速干胶
  • 小鹿妈妈单支独立包装牙线家庭装随身便携盒牙签线细滑超细牙线棒
  • 砂纸打磨抛光超细10000水磨水砂纸沙纸干磨磨砂纸细2000目砂布片

硬盘厂商Western Digital本周发出安全公告,修补App中一个允许攻击者访问受保护文件的重大漏洞。

这项漏洞最先是由安全研究人员Xavier Danest披露的目录遍历(directory traversal)漏洞,编号CVE-2022-22988,它位于WD的文件管理员App EdgeRover之中,允许本地权限的攻击者提升权限,并且从基本的文件系统沙箱逃逸出来。一旦遭成功开采,这项漏洞可导致敏感资讯外泄,或是拒绝服务攻击(denial of service,DoS)。

目录遍历又称路径遍历(path traversal)漏洞,是利用网站安全验证或App用户请求验证漏洞列出服务器目录,完成非授权的目的。

EdgeRover是WD及SanDisk硬件内的个人内容管理App,让用户可针对计算机及外部硬盘上存储的文件,包括文件及图片制作管理清单及快照,简单好用的接口提供搜索、分类分群、预览或是侦测重复的文件。

CVE-2022-22988 CVSS 3.1风险值达到9.1,属重大风险。Windows及macOS版App都受最新漏洞影响,皆为1.5.1-594版本。

在今年1月13日接获外部研究人员通报后,Western Digital已经在1月20日修改文件和目录权限,只允许文件加载到安全文件夹中。

EdgeRover去年底也爆出其OpenSSL函数库内,有可导致DoS攻击及远程程序代码执行的漏洞。这项漏洞也已修补完成。