Problema de seguridad en WDMyCloud

Buenas. Hoy he accedido por primera vez a mi WDMycloud a través de FTP, y he comprobado con sorpresa que con un usuario con permisos limitados (el usuario que he usado para conectar por ftp, llamémosle A) puedo acceder a las carpetas sobre las que NO tiene permisos. Es decir, el usuario A tiene permisos de “solo lectura” sobre la carpeta B, sin embargo he sido capaz de entrar y modificar, crear y eliminar archivos. ¿Esto es normal?. Gracias por vuestra atención, saludetes…

PD: Al final opté por entrar a través de FTP con éste usuario, por que con el administrador siempre me daba acceso denegado ¿?

Hemos notificado al equipo de Soporte de WD al respecto.

¿Qué versión de firmware usas? ¿Has confirmado si sucede por medio de la web y/o aplicación WD My Cloud por igual a fin de confirmar si el comportamiento es general con tu unidad? ¿Usas FTP por medio de una aplicación o es por vía web? ¿El mismo comportamiento se presenta con otras formas de ingreso (Aplicación/Web) FTP)?

Hola de nuevo y gracias por contestar:
Respecto a tus preguntas, tanto si accedo por ftp a través de la web o de aplicación (Filezilla) sucede los mismo: soy capaz de entrar y modificar el contenido de carpetas en las que no tengo permiso. Tengo instalado el último firmware (04.04.03.113). Además solo puedo acceder por ftp logándome con cualquier usuario excepto con el administrador.

Hace unos días recibí un correo de soporte pidiéndome capturas de pantalla para analizar el caso. Supongo que el caso lo abriría Trancer. El caso es que he accedido a mi cuenta pero, parece ser, que el caso ya ha expirado por que no lo encuentro. Así que pongo aquí los pantallazos para que veáis gráficamente lo que digo.

1.- Configuración de Usuarios y cuentas en WDMyCloud


Se puede ver que el usuario “lucy” solo tiene permisos de lectura en la carpeta “Raulete”

2.- Accediendo por FTP con “Filezilla” con usuario “lucy” (sin permisos de escritura en la carpeta “Raulete”)

3.- Accediendo a la carpeta “Raulete”, creando un directorio y borrándolo después. Lógicamente, también soy capaz de borrar el contenido que ya existe en la carpeta creado por Raulete.



Lo subo porque me interesa aclararlo. Saludos