来自Securify的安全研究人员Remco Vermeulen周二（9/18）对外揭露了Western Digital（WD）所生产的网络附加储存装置My Cloud含有身份验证绕过漏洞，可让黑客取得My Cloud装置的管理权限。Vermeulen在去年4月便已通知WD，却迟迟未被修补，直到漏洞被公布的隔天，WD才发表声明，表示将在几周内更新系统。

WD My Cloud系列属于入门级NAS装置，Vermeulen所发现的漏洞存在于该系列所使用的系统，其身份验证绕过漏洞允许未经授权的使用者建立一个连结装置IP位址的管理员工作阶段，以执行原本需要管理权限才能执行的命令，并可完全掌控My Cloud装置，漏洞编号为CVE-2018-17153。

根据WD的回应，该漏洞影响11款My Cloud装置，涵盖My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud EX2 Ultra、My Cloud DL2100、My Cloud DL4100、My Cloud PR2100、My Cloud PR4100、My Cloud Mirror与My Cloud Mirror Gen 2。

WD说明，黑客要开采此一漏洞必须先进入My Cloud用户所处的区域网络，或者是My Cloud用户曾变更Dashboard Cloud Access的出厂设定，开放自远端存取该装置。

Vermeulen不但公布了漏洞细节，还释出概念性验证程序。他是在去年4月9日发现漏洞，10日就通知了WD，一年多以来都没有收到WD的回应，决定选择在本周公布漏洞细节，还透过Twitter表达他的沮丧。

WD旋即在昨天（9/19）公开回应，表示系统更新即将于几周内出炉，呼吁用户应采取健全的资料保护措施，包括密码保护与资料备份等，亦建议用户启用装置的自动更新机制以及时更新系统。