SoftNAS Incorporatedi pilvandmehalduse platvormilt avastati privileeg, mis suurendab koodi kaugkäivitamise haavatavust, nagu on kirjeldatud turvabülletään avaldas ettevõte ise. Haavatavus leiti olevat veebihalduskonsoolis, mis võimaldab pahatahtlikel häkkeritel käivitada meelevaldne kood juurjuurdepääsudega, mööda minnes autoriseerimisvajadusest. Probleem esineb eriti lõpp-punkti snserv skriptis platvormil, mis vastutab selliste ülesannete kontrollimise ja täitmise eest. Haavatavusele on silt antud CVE-2018-14417 .
CoreSecurity SDI Corporationi SoftNAS Cloud on ettevõttele suunatud võrguga stimuleeritud andmesalvestussüsteem, mis pakub pilvetuge paljudele suurimatele müüjatele, nagu Amazon Web Services ja Microsoft Azure, säilitades samas muljetavaldava klientide portfelli nagu Netflix Inc., Samsung Electronics Co Ltd., Toyota Motor Co., Coca-Cola Co ja Boeing Co. Hoiustamisteenus toetab NFS-, CIFS / SMB-, iSCSI- ja AFP-failiprotokolle ning tagab ettevõtte kõige põhjalikuma ja kontrollituma salvestus- ja andmeteenuse sellisel viisil lahendus. See haavatavus aga suurendab kasutajaõigusi, et kaughäkker saaks lubada sihtserveris pahatahtlikke käske täita. Kuna lõpp-punktis pole autentimismehhanismi seadistatud ja snserv-skript ei puhasta sisendit enne toimingu sooritamist, saab häkker seda jälgida ilma seansi kinnitust vajamata. Kuna veebiserver töötab Sudoeri kasutajal, saab häkker saada pahatahtliku koodi käivitamiseks juurõigused ja täieliku juurdepääsu. See haavatavus on nii lokaalselt kui ka kaugelt kasutatav ning selle oht on ohtlik.
See haavatavus juhiti CoreSecurity SDI Corporationi tähelepanu mais ja sellest ajast on seda käsitletud turvafirma veebisaidil avaldatud nõuandes. Samuti on välja antud SoftNAS-i värskendus. Kasutajatel palutakse uuendada oma süsteem sellele uuemale versioonile: 4.0.3, et leevendada volitamata pahatahtliku koodi sisestamise rünnaku tagajärgi.
