●概述：
硬碟大廠Seagate推出網路儲存裝置Personal cloud，用於架設私人專屬雲端，達到異地備份與遠距存取之目的，近日獨立研究員Yorick Koster測試出該設備漏洞，由於uploadTelemetry及getLogs兩副程式原始設計所運用之csrf_exempt decorator，會停用Cross-Site Request Forgery防護，允許駭客藉此於URL內注入惡意指令，透過GET參數回傳給fastcgi.server元件，以root權限執行，等同接管整機設備，而Seagate自去年10月獲告產品瑕疵，迄今尚未公告修補事宜，讓「輕鬆存取」的產品形象又多了一層意義。
●編註：
Seagate媒體伺服器採用Django 網頁架構且會對應到副檔名.psp，任何URL以「.psp」或「.psp/」結尾，該網址皆送至設備應用程式，交由fastcgi.server元件處理(原始碼列於/etc/lighttpd/conf.d/django-host.conf)。
若使用者填入URL字串中包括GET參數，亦毫無過濾地放行，且影響到兩段副程式uploadTelemetry、getLogs(原始碼列於/usr/lib/django_host/seagate_media_server/views.py)，此因兩副程式碼首列均使用csrf_exempt裝飾器(decorator)，而csrf_exempt停用預設Cross-Site Request Forgery防護，故攻擊者得以實施跨站請求偽冒攻擊，以root身分恣意執行系統指令，甚至能啟用Secure Shell，在安全通道內修改root密碼。