聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
西部数据(Western Digital)的EdgeRover 桌面 app的Windows 和 Mac 版本易受提权和沙箱逃逸漏洞影响,可导致敏感信息泄露或拒绝服务攻击。
EdgeRover是西部数据和 SanDisk 产品的中心化内软管理解决方案,在单个管理接口下统一管理多个数字化存储设备。它是一款专有的软件解决方案,旨在提高可用性和舒适性,提供强大的内容搜索、过滤、分类化选项、隐私设置、收集创建、副本检测等功能。
鉴于西部数据是全球最成功的数字化存储产品制造商和零售商之一,因此应该有很多人在使用 EdgeRover 管理数据。
数据暴露问题
该漏洞的编号是CVE-2022-22998,是一个路径遍历漏洞,可导致对受陷目录和文件进行未授权访问。该漏洞的CVSS v3 评分是9.1,被评为“严重”漏洞。
西部数据发布简短的安全公告,并未提供太多的漏洞详情,因此目前尚不清楚该漏洞是否为DLL劫持漏洞可导致本地提权,还是该漏洞可访问低权限数据位置。
不过西部数据建议客户将EdgeRover 桌面应用更新至上周发布的 1.5.1-594或后续版本。
该缺陷由安全研究员 Xavier Danest 发现并负责任地告知厂商。西部数据更正了该文件和目录权限,阻止越权访问和修改。目前尚不清楚该漏洞是否已遭活跃利用。值得注意的是,该漏洞可被用于窃取数据。
媒体收集管理应用可能看似引人注意,尤其是对于需要从多种来源整理数T大小数据的用户而言更是如此。但用户不应忘记每款app都存在自身的安全和隐私风险。
在本案例中是便利性和安全性的冲突,正如CVE-2022-22998漏洞可悲用于泄露用户整个私密媒体和数据集合。因此,建议用户使用操作系统自带的默认文件管理器,并尽可能在系统上尽可能少地使用第三方app。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
一年半之后,西部数据 My Cloud NAS 设备验证绕过漏洞仍未修复
西部数据 My Cloud 存储设备又被曝存在两个漏洞 本地攻击者可获取 root 权限
西部数据 “My Cloud” 存储设备中被曝存在 0day 漏洞
原文链接
https://www.bleepingcomputer.com/news/security/western-digital-app-bug-gives-elevated-privileges-in-windows-macos/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
1793
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
