压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

01?漏洞詳情

影響組件

NAKIVO Backup & Replication 是一款專注于虛擬化、云端及混合環(huán)境的備份與災(zāi)難恢復(fù)的解決方案。

漏洞描述

近日，奇安信CERT監(jiān)測到官方修復(fù)NAKIVO Backup & Replication任意文件讀取漏洞(CVE-2024-48248)，攻擊者可利用STPreLoadManagement 類中的 getImageByPath方法，繞過路徑驗(yàn)證并讀取目標(biāo)服務(wù)器上的任意文件（包括敏感配置文件、數(shù)據(jù)庫、備份日志等）。目前該漏洞技術(shù)細(xì)節(jié)與PoC已在互聯(lián)網(wǎng)上公開，鑒于該漏洞影響范圍較大，建議客戶盡快做好自查及防護(hù)。

02?影響范圍

影響版本

NAKIVO Backup & Replication < v11.0.0.88174

其他受影響組件

無

03?復(fù)現(xiàn)情況

目前，奇安信威脅情報(bào)中心安全研究員已成功復(fù)現(xiàn)NAKIVO Backup & Replication任意文件讀取漏洞(CVE-2024-48248)，截圖如下：

04?受影響資產(chǎn)情況

奇安信鷹圖資產(chǎn)測繪平臺數(shù)據(jù)顯示，NAKIVO Backup & Replication任意文件讀取漏洞(CVE-2024-48248)關(guān)聯(lián)的全球風(fēng)險(xiǎn)資產(chǎn)總數(shù)為3742個，關(guān)聯(lián)IP總數(shù)為1352個。全球風(fēng)險(xiǎn)資產(chǎn)分布情況如下：

05?處置建議

安全更新

目前官方已發(fā)布安全更新，建議用戶盡快升級至最新版本：

https://www.nakivo.com/resources/download/trial-download/download/

06?參考資料

[1]https://labs.watchtowr.com/the-best-security-is-when-we-all-agree-to-keep-everything-secret-except-the-secrets-nakivo-backup-replication-cve-2024-48248/

聲明：本文來自奇安信 CERT，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系rhliu@skdlabs.com，我們將及時按原作者或權(quán)利人的意愿予以更正。