A Western Digital lançou atualizações de firmware para diversos modelos da linha My Cloud NAS, com o objetivo de corrigir uma vulnerabilidade crítica que pode ser explorada remotamente para execução arbitrária de comandos no sistema.
Identificada como
CVE-2025-30247
, essa falha consiste em uma injeção de comandos no sistema operacional através da interface web do My Cloud.
O ataque acontece por meio de requisições HTTP POST especialmente criadas e enviadas a endpoints vulneráveis.
A vulnerabilidade foi descoberta por um pesquisador de segurança que utiliza o pseudônimo “w1th0ut” e reportada à Western Digital.
Para corrigir o problema, a empresa disponibilizou o firmware versão 5.31.108, que abrange todas as versões anteriores nos seguintes modelos:
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud Mirror Gen 2
- My Cloud DL2100
- My Cloud EX2100
- My Cloud DL4100
- My Cloud WDBCTLxxxxxx-10
Vale destacar que os modelos My Cloud DL4100 e My Cloud DL2100 já atingiram o fim do suporte (EoS – End of Support).
Por isso, esses dispositivos podem não receber atualizações, e a empresa não oferece ações alternativas de mitigação para esses produtos como consta no comunicado oficial.
Os dispositivos My Cloud são unidades NAS (network-attached storage) da Western Digital, bastante usadas por pequenas empresas, escritórios domésticos e usuários individuais que buscam armazenar dados em uma nuvem pessoal, acessível de qualquer dispositivo.
Embora não sejam indicados para ambientes críticos ou corporativos, esses aparelhos são populares entre consumidores finais por oferecerem acesso remoto facilitado a arquivos via aplicativos móveis ou navegadores, além de suporte a streaming de mídia e backups automáticos.
A exploração da
CVE-2025-30247
, que permite a execução de comandos shell, pode acarretar acesso não autorizado a arquivos, modificações, exclusões, enumeração de usuários, alterações nas configurações ou até a execução de códigos maliciosos.
Historicamente, falhas semelhantes em dispositivos NAS já foram exploradas por hackers para roubar dados sensíveis, montar botnets, configurá-los como proxies ou instalar ransomware para extorsão.
Usuários do My Cloud devem priorizar a instalação da versão 5.31.108 o quanto antes.
Caso não seja possível atualizar imediatamente, recomenda-se desconectar o dispositivo da rede para evitar riscos até que o patch seja aplicado.
Mesmo offline, o My Cloud continua funcionando como um armazenamento local em modo LAN, embora os arquivos armazenados na nuvem da Western Digital não fiquem disponíveis.
Quem ativou a atualização automática no dispositivo provavelmente já recebeu essa versão desde 23 de setembro de 2025.
Ainda assim, é importante verificar se o aparelho está rodando o firmware mais recente.
Para quem preferir atualizar manualmente, basta baixar a imagem correta do firmware para o modelo específico (instruções disponíveis no site da Western Digital), acessar Settings > Firmware Update > Update From File e selecionar o arquivo BIN baixado.
Após a atualização, o dispositivo precisa ser reiniciado, e é fundamental que ele permaneça conectado à energia durante todo o processo para evitar corrupção de dados.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...