Western Digital выпустила обновление прошивки для сетевых накопителей My Cloud, устраняющее критическую уязвимость CVE-2025-30247. Ошибка позволяла злоумышленникам удалённо выполнять произвольные системные команды на уязвимых устройствах, отправляя специально сформированные HTTP POST-запросы через веб-интерфейс управления. Такая уязвимость фактически открывала доступ к системе хранения данных, что создавало риск кражи информации, внедрения вредоносного кода или использования устройства в составе ботнетов.
Проблема затрагивает широкий спектр моделей My Cloud, включая PR2100, PR4100, EX4100, EX2 Ultra, My Cloud Mirror Gen 2, DL2100, EX2100, DL4100, а также устройства серии WDBCTLxxxxxx-10. Для большинства этих моделей Western Digital уже выпустила исправление в виде новой версии прошивки – 5.31.108. Однако для двух устаревших моделей DL4100 и DL2100, которые достигли конца жизненного цикла (EoS), обновление может быть недоступно, что оставляет их владельцев без официальной защиты.
Компания настоятельно рекомендует всем пользователям проверить версию прошивки и как можно скорее установить обновление. Это можно сделать через интерфейс администратора: нужно скачать файл обновления, зайти в раздел «Настройки → Обновление прошивки → Обновить из файла», выбрать BIN-файл и дождаться перезагрузки устройства. Если обновление установить невозможно, эксперты советуют временно отключить накопитель от сети, чтобы исключить возможность эксплуатации уязвимости.
Western Digital напоминает, что подобные уязвимости в устройствах NAS активно используются злоумышленниками: в прошлом такие инциденты приводили к масштабным заражениям ботнетами и утечкам пользовательских данных. Компания подчёркивает, что безопасность хранилищ напрямую зависит от своевременного обновления прошивки и использования только доверенных сетевых подключений.