据外媒 4 月 26 日报道，安全公司 Trustwave 的研究人员发现 ，西部数据（Western Digital：简称 WD）的 My Cloud EX2 存储设备默认情况下会在本地 *** 上泄漏文件，无论用户设置的权限如何。并且如果用户配置设备进行远程访问并使其联机，则情况会变得更糟。因为在这种情况下，My Cloud EX2 存储设备也会通过端口 9000 上的 HTTP 请求泄漏文件。

根据 Trustwave 发布的安全公告，My Cloud EX2 驱动器的默认配置允许任何未经身份验证的本地 *** 用户使用 HTTP 请求从设备获取任何文件。即使公共共享被禁用，也可以访问存储上的文件。也就是说，任何人都可以在端口 9000 上向 TMSContentDirectory / Control 发送 HTTP 请求来传递各种操作，例如浏览操作返回带有指向设备上单个文件 URL 的 XML 。

Trustwave 研究人员表示，泄露是由于设备的 UPnP 媒体服务器在设备开机时自动启动。在默认情况下，未经身份验证的用户可以完全绕过所有者或管理员设置的任何权限或限制，从设备上获取任何文件。

Trustwave 表示他们在 1 月 26 日就发现了这个漏洞问题，并且也报告给了西部数据公司。不过当时该公司只是建议其用户禁用 DLNA。目前 Trustwave 针对该漏洞发布了 POC， 并建议用户关闭 DLNA 以保护数据。

消息来源：Security Affairs，编译：榆榆，审核：FOX;

本文由 HackerNews.cc 编译整理，封面来源于 *** ；

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。