专栏名称: 奇安信 CERT
为企业级用户提供高危漏洞、重大安全事件安全风险通告和相关产品解决方案。
目录
相关文章推荐
庞门正道  ·  终于可以学会排版! ·  5 小时前  
阿杜书馆  ·  5个儿子养不了一个妈! ... ·  16 小时前  
阿杜书馆  ·  5个儿子养不了一个妈! ... ·  16 小时前  
龙爪槐守望者  ·  信你是秦始皇 ·  3 天前  
庞门正道  ·  这是画画,还是玩穿搭呢? ·  3 天前  
庞门正道  ·  啊?屁股长脸上了吗? ·  3 天前  
51好读  ›  专栏  ›  奇安信 CERT

【已复现】NAKIVO Backup & Replication任意文件读取漏洞(CVE-202...

奇安信 CERT  · 公众号  ·  · 2025-02-27 11:40

正文

请到「今天看啥」查看全文


未发现

EXP状态

已公开

技术细节状态

已公开

危害描述: 攻击者读取目标服务器上的任意文件(包括敏感配置文件、数据库、备份日志等)。


0 1
漏洞详情
> > > >

影响组件

NAKIVO Backup & Replication 是一款专注于虚拟化、云端及混合环境的备份与灾难恢复的解决方案。

> > > >

漏洞描述

近日,奇安信CERT监测到官方修复 NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248) ,攻击者可利用STPreLoadManagement 类中的 getImageByPath方法,绕过路径验证并读取目标服务器上的任意文件(包括敏感配置文件、数据库、备份日志等)。 目前该漏洞技术细节与PoC已在互联网上公开, 鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。


02
影响范围






请到「今天看啥」查看全文