漏洞标题
在WD Discovery中,由于node.js配置错误导致代码执行
漏洞描述信息
WD 发现版 本在5.0.589之前存在Node.js环境设置的配置错误,这可能允许通过利用"ELECTRON_RUN_AS_NODE"环境变量来执行代码。任何以标准用户权限运行的恶意应用程序都可利用此漏洞,在WD发现应用程序的上下文中执行代码。修复此问题的WD发现版本5.0.589通过禁用Electron中的某些功能和熔接来解决问题。此问题的攻击向量要求受害者在其设备上安装了WD发现应用程序。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
漏洞类别
对搜索路径元素未加控制
漏洞标题
Misconfiguration in node.js causing a code execution in WD Discovery
漏洞描述信息
WD Discovery
versions prior to 5.0.589 contain a misconfiguration in the Node.js environment
settings that could allow code execution by utilizing the 'ELECTRON_RUN_AS_NODE' environment variable.
Any malicious application operating with standard user permissions can exploit
this vulnerability, enabling code execution within WD Discovery application's
context. WD Discovery version 5.0.589 addresses this issue by disabling certain
features and fuses in Electron. The attack vector for this issue requires the victim to have the WD Discovery app installed on their device.
CVSS信息
N/A
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
Western Digital Discovery 安全漏洞
漏洞描述信息
Western Digital Discovery(WD Discovery)是美国西部数据(Western Digital)公司的一款用于Western Digital个人存储设备的远程连接管理工具。 Western Digital Discovery 5.0.589之前版本存在安全漏洞,该漏洞源于存在配置错误,可能允许通过使用环境变量来执行代码。
CVSS信息
N/A
漏洞类别
其他