文章总结: 无界安全团队发现西部数据MyCloudNAS存在高危命令注入漏洞CVE-2025-30247,CVSS评分9.4。该漏洞允许未认证攻击者远程执行任意系统命令,导致设备沦陷或数据泄露。厂商已发布固件5.31.108进行修复,建议用户立即升级以消除风险。 综合评分: 80 文章分类: 漏洞预警,漏洞分析,WEB安全,IoT安全
CVE-2025-30247 | 无界安全成员发现西部数据高危漏洞
lyan lyan
无界安全
2026年3月3日 09:51 福建
CVE-2025-30247 CVSS 9.4 命令注入漏洞
一、喜讯
近日,无界安全团队成员 w1th0ut 在安全研究中发现西部数据(Western Digital)My Cloud NAS 设备存在一处高危命令注入漏洞,CVSS评分为9.4分,是近年来影响该存储产品线最严重的安全问题之一。该漏洞已获得厂商确认并修复,相关贡献已在西部数据官方安全公告中获得致谢。
二、漏洞详情
漏洞信息
| 项目 | 内容 |
| — | — |
| 漏洞编号 | CVE-2025-30247 |
| 漏洞类型 | 操作系统命令注入(OS Command Injection) |
| CVSS 评分 | 9.4 分(高危) |
| 影响产品 | 西部数据 My Cloud NAS |
| 影响版本 | 固件 5.31.108 之前版本 |
| 修复版本 | 固件 5.31.108 |
漏洞描述
根据西部数据官方安全公告:
“西部数据 My Cloud NAS 平台 5.31.108 之前版本固件的用户界面存在操作系统命令注入漏洞,远程攻击者可通过特制的 HTTP POST 请求执行任意系统命令。”
漏洞原理
该漏洞位于 My Cloud NAS 设备的 Web 管理界面中。由于对用户输入的过滤不严格,攻击者可以构造恶意的 HTTP POST 请求,将任意系统命令注入到设备底层操作系统中执行。
攻击特征:
- 无需物理接触设备
- 无需身份认证
- 可远程触发
- 执行权限高
三、潜在危害
该漏洞危害等级为高危,对于依赖 My Cloud 进行文件存储和备份的企业及家庭用户,漏洞被利用后可能导致:
-
设备完全沦陷
:攻击者可获取 NAS 设备的 root 级控制权
-
敏感数据泄露
:设备中存储的文件、照片、备份等敏感信息可能被窃取
-
横向渗透
:攻击者可将受控 NAS 作为跳板,对本地网络发起进一步攻击
由于 NAS 设备通常为便利性开放远程访问,该漏洞的攻击面十分广泛,潜在影响范围较大。
四、修复建议
西部数据已发布修复版本,强烈建议所有 My Cloud NAS 用户立即升级:
升级步骤
- 登录 My Cloud NAS 管理界面
- 进入「设置」→「固件更新」
- 检查并安装 5.31.108 或更高版本
- 重启设备确保更新生效
参考链接
– FreeBuf 报道
无界安全 – 专注网络安全研究
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:无界安全 lyan lyan《CVE-2025-30247 | 无界安全成员发现西部数据高危漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论