FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

西部数据（Western Digital）已修复其My Cloud NAS平台中的一个高危漏洞，远程攻击者可利用该漏洞完全控制受影响设备。该漏洞编号为CVE-2025-30247，CVSS评分为9.4分，是近年来影响该存储产品线最严重的安全问题之一。

漏洞详情

根据西部数据的公告："西部数据My Cloud NAS平台5.31.108之前版本固件的用户界面存在操作系统命令注入漏洞，远程攻击者可通过特制的HTTP POST请求执行任意系统命令。"

这意味着攻击者无需物理接触设备，即可构造恶意请求直接在设备底层操作系统上执行命令，可能导致数据窃取、设备被控或网络横向移动。

潜在影响

对于依赖My Cloud进行文件存储和备份的企业及家庭用户，漏洞利用可能导致：

• 攻击者获取NAS设备的root级控制权
• 设备存储的敏感文件遭泄露
• 攻击者将受控NAS作为跳板对本地网络发起进一步攻击

由于NAS设备通常为便利性开放远程访问，攻击面十分广泛。

修复建议

修复版本为固件5.31.108。西部数据强烈建议用户立即更新，公告强调："My Cloud固件5.31.108包含多项更新以提升设备安全性。为获取最新安全修复，西部数据建议用户通过点击固件更新通知立即将设备升级至最新固件。"

参考来源：

CVE-2025-30247: Critical Command Injection Flaw in Western Digital My Cloud NAS Devices

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）