Programmas SoftNAS Incorporated mākoņa datu pārvaldības platformā tika atklāta privilēģija, kas paaugstina koda attālās izpildes ievainojamību, kā aprakstīts drošības biļetens publicējis pats uzņēmums. Ievainojamība pastāv tīmekļa administrēšanas konsolē, kas ļaunprātīgiem hakeriem ļauj izpildīt patvaļīgu kodu ar root tiesībām, apejot nepieciešamību pēc autorizācijas. Šis jautājums jo īpaši tiek parādīts galapunkta snserv skriptā platformā, kas ir atbildīga par šādu uzdevumu pārbaudi un izpildi. Ievainojamībai ir piešķirta etiķete CVE-2018-14417 .
CoreSecurity SDI korporācijas programmatūra SoftNAS Cloud ir uz uzņēmumu orientēta tīkla stimulēta datu glabāšanas sistēma, kas nodrošina atbalstu mākoņiem dažiem lielākajiem piegādātājiem, piemēram, Amazon Web Services un Microsoft Azure, vienlaikus saglabājot iespaidīgu klientu portfeli, piemēram, Netflix Inc., Samsung Electronics Co SIA, Toyota Motor Co, Coca-Cola Co un Boeing Co. Krātuves pakalpojums atbalsta NFS, CIFS / SMB, iSCSI un AFP failu protokolus un nodrošina visgrūtāko un kontrolētāko uzņēmumu uzglabāšanas un datu servisu. šādā veidā. Šī ievainojamība tomēr palielina lietotāju atļaujas, lai ļautu attālajam hakerim izpildīt ļaunprātīgas komandas mērķa serverī. Tā kā galapunktā nav iestatīts autentifikācijas mehānisms un snserv skripts pirms operācijas veikšanas nesauc ievadi, hakeris var sekot līdzi, neveicot sesijas pārbaudi. Tā kā tīmekļa serveris darbojas ar Sudoer lietotāju, hakeris var iegūt root atļaujas un pilnīgu piekļuvi jebkura ļaunprātīga koda izpildei. Šī ievainojamība ir gan lokāli, gan attālināti izmantojama, un tā ir pakļauta kritiskam ekspluatācijas riskam.
Šī ievainojamība tika pievērsta CoreSecurity SDI Corporation uzmanībai maijā, un kopš tā laika tā ir novērsta drošības firmas vietnē publicētajā konsultācijā. Ir izlaists arī programmatūras SoftNAS atjauninājums. Lai mazinātu nesankcionēta ļaunprātīga koda ievadīšanas uzbrukuma sekas, lietotājiem ir jāatjaunina viņu sistēma uz šo jaunāko versiju: 4.0.3.
