西部数据app可导致Windows 和 macOS 提权
编译:代码卫士
EdgeRover是西部数据和 SanDisk 产品的中心化内软管理解决方案,在单个管理接口下统一管理多个数字化存储设备。它是一款专有的软件解决方案,旨在提高可用性和舒适性,提供强大的内容搜索、过滤、分类化选项、隐私设置、收集创建、副本检测等功能。
鉴于西部数据是全球最成功的数字化存储产品制造商和零售商之一,因此应该有很多人在使用 EdgeRover 管理数据。
该漏洞的编号是CVE-2022-22998,是一个路径遍历漏洞,可导致对受陷目录和文件进行未授权访问。该漏洞的CVSS v3 评分是9.1,被评为“严重”漏洞。
西部数据发布简短的安全公告,并未提供太多的漏洞详情,因此目前尚不清楚该漏洞是否为DLL劫持漏洞可导致本地提权,还是该漏洞可访问低权限数据位置。
不过西部数据建议客户将EdgeRover 桌面应用更新至上周发布的 1.5.1-594或后续版本。
该缺陷由安全研究员 Xavier Danest 发现并负责任地告知厂商。西部数据更正了该文件和目录权限,阻止越权访问和修改。目前尚不清楚该漏洞是否已遭活跃利用。值得注意的是,该漏洞可被用于窃取数据。
媒体收集管理应用可能看似引人注意,尤其是对于需要从多种来源整理数T大小数据的用户而言更是如此。但用户不应忘记每款app都存在自身的安全和隐私风险。
在本案例中是便利性和安全性的冲突,正如CVE-2022-22998漏洞可悲用于泄露用户整个私密媒体和数据集合。因此,建议用户使用操作系统自带的默认文件管理器,并尽可能在系统上尽可能少地使用第三方app。
一年半之后,西部数据 My Cloud NAS 设备验证绕过漏洞仍未修复
https://www.bleepingcomputer.com/news/security/western-digital-app-bug-gives-elevated-privileges-in-windows-macos/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。