Повластица која повећава рањивост удаљеног извршавања кода откривена је у платформи за управљање подацима у облаку СофтНАС Инцорпоратед, како је наведено у безбедносни билтен објавила је сама компанија. Утврђено је да рањивост постоји у веб административној конзоли која злонамерним хакерима омогућава извршавање произвољног кода са роот дозволама заобилазећи потребу за ауторизацијом. Проблем се посебно представља у скрипти крајње тачке снсерв унутар платформе одговорне за верификацију и извршавање таквих задатака. Ознака је додељена рањивости ЦВЕ-2018-14417 .
СофтНАС Цлоуд ЦореСецурити СДИ Цорпоратион корпоративно је усмерен на мрежу, систем за складиштење података који пружа подршку у облаку неким од највећих произвођача као што су Амазон Веб Сервицес и Мицрософт Азуре, док истовремено задржава импресиван портфолио клијената као што су Нетфлик Инц., Самсунг Елецтроницс Цо Лтд., Тоиота Мотор Цо., Цоца-Цола Цо. и Боеинг Цо. Услуга складиштења подржава протоколе датотека НФС, ЦИФС / СМБ, иСЦСИ и АФП и омогућава најтемељитију и најконтролисанију услугу складиштења и података у предузећима. решење на овај начин. Ова рањивост, међутим, подиже корисничке дозволе како би се омогућило удаљеном хакеру да извршава злонамерне наредбе на циљном серверу. Како у крајњој тачки није постављен механизам за потврду идентитета, а снсерв скрипта не чисти унос пре извођења операције, хакер је у могућности да то спроведе без потребе за било каквом верификацијом сесије. Будући да веб сервер послује са Судоер корисником, хакер може добити роот дозволе и потпун приступ за извршавање било ког злонамерног кода. Ова рањивост је локално и даљински експлоатабилна и оцењује се као критични ризик од експлоатације.
Овој рањивости је скренута пажња компаније ЦореСецурити СДИ Цорпоратион у мају и од тада је адресирано у саветнику објављеном на веб локацији заштитне фирме. Објављено је и ажурирање за СофтНАС. Од корисника се тражи да надограде своје системе на најновију верзију: 4.0.3 како би ублажили последице неовлашћеног напада злонамерног убризгавања кода.
