Seagate
Seagate Media Server es un mecanismo de almacenamiento conectado a la red UPnp / DLNA incorporado en Seagate Personal Cloud para uso individual. En un aviso en el sitio web de búsqueda de errores de seguridad de IoT Summer of Pwnage, se descubrieron y discutieron varias vulnerabilidades de inyección de SQL en Seagate Media Server, lo que pone en riesgo la recuperación y modificación de datos personales almacenados en la base de datos utilizada por el servidor de medios.
Seagate Personal Cloud es una instalación de almacenamiento en la nube que se utiliza para almacenar fotos, videos y otros tipos de multimedia en su servidor de medios. A medida que los datos personales se cargan en esta nube, está protegida con verificaciones de autorización y seguridad de contraseña, pero dentro de su diseño, existe una carpeta pública a la que los usuarios no autorizados tienen derecho a cargar datos y archivos.
De acuerdo con la consultivo , esta función de carpeta pública puede ser abusada por atacantes malintencionados cuando cargan archivos y medios problemáticos en la carpeta en la nube. Los archivos de estos atacantes no autorizados pueden entonces comportarse de la manera en que fueron diseñados, lo que permite la recuperación y modificación arbitrarias de datos en la base de datos del servidor de medios. Afortunadamente, el hecho de que Seagate Media Server utilice una base de datos SQLite3 separada restringe la actividad maliciosa de dichos atacantes y el grado en que pueden aprovechar esta vulnerabilidad.
A prueba de concepto está disponible junto con el aviso que muestra que el marco web Django utilizado en el servidor de medios se ocupa de las extensiones .psp. Cualquier carga que contenga esta extensión se redirige inmediatamente a la parte de la nube de Seagate Media Server a través del protocolo FastCGI. Manipular las extensiones e inyectar archivos maliciosos en el servidor de medios a través de la carpeta pública de esta manera podría permitir a los atacantes ejecutar código para recuperar datos del servidor o modificar minuciosamente lo que ya está allí.
Se encontró que estas vulnerabilidades de inyección SQL afectan las versiones de firmware 4.3.16.0 y 4.3.18.0 de Seagate Personal Cloud SRN21C. Aunque estos fueron los únicos probados, el proveedor espera que otras versiones también se vean afectadas. Para mitigar los riesgos planteados, una nueva versión de firmware 4.3.19.3 se ha lanzado para Seagate Personal Cloud, que cierra la carpeta pública y los mecanismos de redireccionamiento de extensiones que permiten este tipo de vulnerabilidad.
![[FIX] Código de error de actualización de Windows 646](https://jf-balio.pt/img/how-tos/01/windows-update-error-code-646.png)
