(https://www.bleepstatic.com/content/hl-images/2021/12/09/Western_Digital_headpic.jpg)
Western Digital ha publicado actualizaciones de firmware para varios modelos de NAS My Cloud para corregir una vulnerabilidad crítica que podría explotarse remotamente para ejecutar comandos arbitrarios del sistema.
Identificada como CVE-2025-30247, la falla consiste en una inyección de comandos del sistema operativo en la interfaz de usuario de My Cloud y puede aprovecharse mediante solicitudes HTTP POST especialmente diseñadas y enviadas a endpoints vulnerables.
La vulnerabilidad fue reportada a Western Digital por un investigador de seguridad con el alias "w1th0ut". El fabricante de dispositivos de almacenamiento lanzó la versión de firmware 5.31.108 para solucionar el problema que afecta a todas las versiones anteriores de los siguientes modelos:
My Cloud PR2100
My Cloud PR4100
My Cloud EX4100
My Cloud EX2 Ultra
My Cloud Mirror Gen 2
My Cloud DL2100
My Cloud EX2100
My Cloud DL4100
My Cloud WDBCTLxxxxxx-10
Cabe destacar que dos de los dispositivos, My Cloud DL4100 y My Cloud DL2100, han alcanzado el fin de soporte (EoS) y es posible que no haya actualizaciones disponibles, ya que el aviso de seguridad de la compañía no ofrece medidas de mitigación para los productos EoS.
My Cloud es el almacenamiento conectado a red (NAS) de Western Digital, utilizado habitualmente por pequeñas empresas, oficinas domésticas y particulares que desean almacenar datos en una nube personal y acceder a ellos desde cualquier dispositivo.
Aunque no están diseñados para entornos críticos o empresariales, son populares entre el público general por facilitar el acceso remoto a archivos mediante aplicaciones móviles o navegadores, la transmisión multimedia y las copias de seguridad automatizadas.
La explotación de CVE-2025-30247 para ejecutar comandos de shell podría provocar acceso no autorizado a archivos, modificaciones, eliminaciones, enumeraciones de usuarios, cambios de configuración o incluso la ejecución de archivos binarios.
En el pasado, los hackers han explotado vulnerabilidades similares en dispositivos NAS para recopilar datos confidenciales, crear botnets, utilizarlos como proxy o implementar ransomware para extorsionar a los usuarios.
Los usuarios de My Cloud deben priorizar la actualización a la versión 5.31.108 lo antes posible. Si no se puede actuar de inmediato, se recomienda desconectar el dispositivo hasta que se pueda aplicar la actualización.
Incluso sin conexión, los dispositivos My Cloud pueden seguir funcionando como centros de almacenamiento locales en modo LAN, aunque los archivos almacenados en el servicio en la nube de Western Digital no estarán disponibles.
Los usuarios que hayan habilitado las actualizaciones automáticas en la configuración de su dispositivo deberían haber recibido la actualización desde el 23 de septiembre de 2025. Se recomienda verificar que esté ejecutando la última versión.
Es posible realizar actualizaciones manuales:
https://support-en.wd.com/app/answers/detailweb/a_id/31757/~/update-firmware-on-my-cloud-os-5-automatically-or-manually
Para ello, busque la imagen de firmware correcta para su modelo de dispositivo
https://www.westerndigital.com/support/product-list?productName=3779
y, a continuación, vaya a Ajustes > Actualización de firmware > Actualizar desde archivo > seleccione el archivo BIN descargado.
Para que la actualización surta efecto, deberá reiniciar el dispositivo y mantenerlo conectado durante todo el proceso para evitar la corrupción de datos.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/critical-wd-my-cloud-bug-allows-remote-command-injection/