Estas 3 vulnerabilidades críticas, podrían usarse por ejemplo para descargar el contenido del disco y subir malware para infectar el equipo de la víctima.
Los CWE o «Commun Weakness Enumaration» de cada vulnerabilidad son los siguientes.
CWE-798: Use of Hard-coded Credentials
Es posible acceder al disco con credenciales por defecto, mediante un servicio Telnet no documentado por la Seagate.
CWE-425: Direct Request (‘Forced Browsing’)
Si se usa la configuración por defecto, un atacante puede descargar sin permiso cualquier tipo de archivo desde el disco mientras tenga acceso a la señal inalámbrica del dispositivo.
CWE-434: Unrestricted Upload of File with Dangerous Type
Si se usa la configuración por defecto, un atacante puede subir sin permiso cualquier tipo de archivo a la ruta /media/sda2, espacio reservado para el directorio de archivos compartidos. También se debe tener acceso a la señal inalámbrica del dispositivo.
Todas estas vulnerabilidades afectan a los productos Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage y LaCie FUEL. En sus versiones de firmware 2.2.0.005 y 2.3.0.014 liberadas en Octubre del 2014.
![[Weekly Update] ANCI monitorea incidentes, presuntas filtraciones y vulnerabilidades activas en ecosistema nacional.](https://i0.wp.com/blog.nivel4.com/wp-content/uploads/2026/05/weeklyupdate_verde-1.jpg?fit=768%2C543&ssl=1)
