大工网安告[2025015]

一、 情况分析

NAKIVO Backup & Replication是一款专注于虚拟化、云端及混合环境的备份与灾难恢复的解决方案。

近日，官方修复NAKIVO Backup&Replication任意文件读取漏洞(CVE-2024-48248)，攻击者可利用STPreLoadManagement类中的getImageByPath方法，绕过路径验证并读取目标服务器上的任意文件（包括敏感配置文件、数据库、备份日志等）。目前该漏洞技术细节与POC已在互联网上公开。鉴于该漏洞影响范围较大，建议大家尽快做好自查及防护。

威胁类型：路径名的限制不恰当。

技术类型：信息泄露。

利用条件：无。

危害描述：攻击者读取目标服务器上的任意文件（包括敏感配置文件、数据库、备份日志等）。

目前，已成功复现NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)，截图如下：

二、 影响版本

NAKIVO Backup & Replication < v11.0.0.88174

三、 处置建议

修复解决方案（含漏洞补丁）：

目前官方已发布安全更新，建议用户尽快升级至最新版本：

https://www.nakivo.com/resources/download/trial-download/download/