「Seagate、NAS製品の危険なバグを密かにパッチ」

www.bleepingcomputer.com

先日はWestern DigitalのNASで重大な脆弱性があることが発覚していました。

mokake.hatenablog.com

今度はSeagateのPersonal Cloud Home Media Storageです。搭載するWebアプリケーションにコマンドインジェクション可能な脆弱性があり、ここからSSHアクセスの有効化やrootパスワード変更が可能だったようです。

ただし、脆弱なスクリプトはネットワーク内部からしかアクセスできないため、悪用するためには同一ネットワーク上の他クライアントなどを経由する必要があります。

Seagateは研究者からの連絡に対して返答すらなかった一方で、密かに脆弱性にパッチをあてていたようです。