专栏名称: 奇安信 CERT
为企业级用户提供高危漏洞、重大安全事件安全风险通告和相关产品解决方案。
目录
相关文章推荐
WallStreetTequila  ·  学校战绩 | LSE的学生都进了哪些公司? ·  9 小时前  
WallStreetTequila  ·  学校战绩 | LSE的学生都进了哪些公司? ·  9 小时前  
涿州新闻  ·  中到大雨!大风!涿州气象最新发布... ·  昨天  
内蒙古自治区应急管理厅  ·  广东汕头一铺面起火 ·  昨天  
51好读  ›  专栏  ›  奇安信 CERT

【已复现】NAKIVO Backup & Replication任意文件读取漏洞(CVE-202...

奇安信 CERT  · 公众号  ·  · 2025-02-27 11:40

正文

请到「今天看啥」查看全文


未发现

EXP状态

已公开

技术细节状态

已公开

危害描述: 攻击者读取目标服务器上的任意文件(包括敏感配置文件、数据库、备份日志等)。


0 1
漏洞详情
> > > >

影响组件

NAKIVO Backup & Replication 是一款专注于虚拟化、云端及混合环境的备份与灾难恢复的解决方案。

> > > >

漏洞描述

近日,奇安信CERT监测到官方修复 NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248) ,攻击者可利用STPreLoadManagement 类中的 getImageByPath方法,绕过路径验证并读取目标服务器上的任意文件(包括敏感配置文件、数据库、备份日志等)。 目前该漏洞技术细节与PoC已在互联网上公开, 鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。


02
影响范围






请到「今天看啥」查看全文