My Cloud NAS高危命令注入漏洞CVE-2025-30247

My Cloud NAS是西部数据（Western Digital）一款面向家庭和小型企业的网络附加存储设备，用于数据备份、文件共享及媒体流式传输。

一、基本情况

My Cloud NAS通过简化安装和配置，用户可快速搭建私有云存储，支持多设备访问（手机、平板、电脑），可RAID1阵列保障数据安全。

My Cloud NAS支持自动备份手机、电脑等设备的照片和文件，可以解决本地存储空间不足的问题，适配手机、平板、电脑、电视等设备。

My Cloud NAS支持媒体文件点播，可在家庭网络内共享文件，并通过远程访问功能实现异地访问存储内容，并且支持媒体文件点播功能。

栋科技漏洞库关注到西部数据My Cloud固件NAS平台上的用户界面存在命令注入漏洞，漏洞被追踪为CVE-2025-30247，CVSS评分9.4分。

二、漏洞分析

CVE-2025-30247漏洞是西部数据My Cloud固件在NAS平台上的用户界面中的操作系统命令注入漏洞，存在于版本低于5.31.108的固件中。

该漏洞存在于My Cloud NAS平台5.31.108之前版本固件的用户界面中，远程攻击者可以通过特制的HTTP POST请求，执行任意系统命令。

具体来说，该漏洞允许远程攻击者通过特制的HTTP POST请求执行任意系统命令，这使得远程攻击者可利用该漏洞完全控制受影响设备。

这意味着，攻击者无需物理接触设备，即可构造恶意请求直接在设备底层操作系统上执行命令，导致数据窃取、设备被控或网络横向移动。

该漏洞是近年来影响该存储产品线最严重的安全问题之一，由于NAS设备通常为便利性开放远程访问，攻击面十分广泛，建议应尽快修复。

三、影响范围

My Cloud NAS < 5.31.108

四、修复建议

My Cloud NAS > 5.31.108

五、参考链接

管理员已设置登录后刷新可查看