(画像クレジット:Everything Possible / Shutterstock)
- Western Digital、複数のMy Cloud NASモデルに存在する重大なRCE脆弱性CVE-2025-30247を修正
- 脆弱性はMy Cloudユーザーインターフェースを標的とした細工されたHTTP POSTリクエストによって悪用される
- サポート終了モデルにはアップデート提供なし、ユーザーにはパッチ適用または新機種への移行を推奨
データストレージ大手のWestern Digitalは、複数のMy CloudNASモデルで発見された重大な脆弱性を修正しました。
同社はセキュリティアドバイザリで、My CloudユーザーインターフェースにおけるOSコマンドインジェクションの脆弱性について報告を受けたと発表しました。この脆弱性は、細工されたHTTP POSTリクエストを脆弱なデバイスに送信することで悪用される可能性があります。
この攻撃により、攻撃者はリモートコード実行(RCE)の権限を得ることができます。この脆弱性はCVE-2025-30247として追跡されており、深刻度スコアは9.3/10(クリティカル)です。影響を受けるモデルの一覧は以下の通りです:
My Cloud PR2100
My Cloud PR4100
My Cloud EX4100
My Cloud EX2 Ultra
My Cloud Mirror Gen 2
My Cloud DL2100
My Cloud EX2100
My Cloud DL4100
My Cloud WDBCTLxxxxxx-10
サポート終了
My Cloud DL4100およびMy Cloud DL2100はサポート終了モデルであり、アップデートは提供されません。
ユーザーには新しいモデルへの移行を推奨し、その後ファームウェアパッチを適用してバージョン5.31.108にしてください。
デフォルト設定では自動パッチ管理が有効ですが、Western Digitalはユーザーに現在のバージョンを再確認するよう呼びかけています。
または、パッチをインストールするまでデバイスをオフラインにすることもできますが、その場合はクラウドサービス機能が利用できなくなります。
これらのデバイスは個人向けのクラウドストレージソリューションであり、主にマルチメディアやドキュメントのバックアップ、スマートテレビやモバイルデバイスへのストリーミング、他の人との共有などに利用されています。
My Cloudは主に個人利用向けに設計されていますが、一部のモデル(主にEXおよびPRシリーズ)はRAID対応、複数ドライブベイ、強化されたユーザー管理機能を備えており、小規模オフィスやプロシューマー環境にもある程度適しています。
