【已复现】NAKIVO Backup & Replication任意文件读取漏洞(CVE-202...

正文

请到「今天看啥」查看全文

未发现

EXP状态

已公开

技术细节状态

已公开

危害描述： 攻击者读取目标服务器上的任意文件（包括敏感配置文件、数据库、备份日志等）。

0 1

漏洞详情

> > > >

影响组件

NAKIVO Backup & Replication 是一款专注于虚拟化、云端及混合环境的备份与灾难恢复的解决方案。

> > > >

漏洞描述

近日，奇安信CERT监测到官方修复 NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248) ，攻击者可利用STPreLoadManagement 类中的 getImageByPath方法，绕过路径验证并读取目标服务器上的任意文件（包括敏感配置文件、数据库、备份日志等）。 目前该漏洞技术细节与PoC已在互联网上公开， 鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02

影响范围

请到「今天看啥」查看全文