NAKIVO Backup & Replication 任意文件读取漏洞(CVE-2024-48248)

北京赛克艾威科技有限公司 2025-02-26

  • 漏洞编号:CVE-2024-48248
  • 漏洞等级:高危
  • 漏洞标签:POC已公开
  • 发布时间:2025-02-26

漏洞描述

NAKIVO Backup & Replication是一款专注于虚拟化、云端及混合环境的备份与灾难恢复的解决方案。近日官方修复 CVE\-2024\-48248 NAKIVO Backup & Replication任意文件读取漏洞,攻击者可利用STPreLoadManagement类中的getImageByPath方法,绕过路径验证并读取目标服务器上的任意文件。

修复建议

升级至最新版本。

参考链接

https://github.com/watchtowrlabs/nakivo-arbitrary-file-read-poc-CVE-2024-48248/?ref=labs.watchtowr.com

https://helpcenter.nakivo.com/Release-Notes/Content/Release-Notes.htm

https://labs.watchtowr.com/the-best-security-is-when-we-all-agree-to-keep-everything-secret-except-the-secrets-nakivo-backup-replication-cve-2024-48248/

https://avd.aliyun.com/detail?id=AVD-2024-48248