关于CVE-2025-30247漏洞
西部数据已修复其My Cloud网络附加存储(NAS)设备固件中的一个关键远程代码执行漏洞(CVE-2025-30247),并敦促用户尽快升级固件。
西部数据的My Cloud设备专为家庭和小型企业用户设计,用于存储文档和其他内容,并通过移动应用程序或网络浏览器进行访问。在小型办公环境中,它通常还被用作备份服务器和项目文件的集中存储位置。
CVE-2025-30247是固件用户界面中的一个操作系统命令注入漏洞,允许远程攻击者通过特制的HTTP POST请求执行任意系统命令。
该漏洞的CVSS评分字符串表明,利用此漏洞无需事先认证或用户交互。成功的攻击可能导致系统完全被攻陷,攻击者能够访问设备上存储的所有数据,并具备加密、删除或修改数据的能力。
被攻陷的设备还可能为攻击者提供立足点,进而危害同一网络中的其他系统。
更新固件指南
CVE-2025-30247影响以下受支持设备的v5.31.108之前版本固件(该版本于9月23日发布):
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX4100
- My Cloud Mirror Gen 2
- My Cloud EX2100
- My Cloud DL2100
- My Cloud DL4100
- My Cloud WDBCTLxxxxxx-10
- My Cloud
该漏洞由研究人员私下报告,目前没有提到在野外被利用的情况。
西部数据建议:“为利用最新的安全修复程序,西部数据建议用户通过点击固件更新通知,及时将其设备更新至最新固件。”
如果设备未断开连接或断电,且启用了自动固件更新选项的设备已完成升级。