漏洞风险提示(20250305)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 NAKIVO Backup & Replication 任意文件读取漏洞(CVE-2024-48248)
一、漏洞描述:
NAKIVO Backup & Replication是一款高效的数据保护解决方案,专为虚拟化、云和物理环境设计。它支持 VMware、Hyper-V、AWS、Azure等平台的备份、恢复、复制和归档功能。该软件提供快速、可靠的备份与恢复,支持增量备份和去重技术,以节省存 储空间并提高性能。NAKIVO Backup & Replication还支持灾难恢复、云备份和跨平台数据迁移,确保企业关键数据的安全。其简便的界 面和自动化流程帮助用户提高管理效率,降低运维成本。攻击者可通过该漏洞访问服务器上的任意文件,包括存储在数据库中的凭证和备份文件(如.raw格式的备份文件和product01.h2.db数据库文件),进而提取未加密存储的敏感凭证信息。此外,攻击者还能通过调试Java进程,提取内存中存储的清晰文本凭证。这使得攻击者能够获取与其他系统集成所需的SSH密码、AWS密钥等敏感数据,从而进一步控制 受影响的备份环境。该漏洞可能导致攻击者窃取系统中所有存储的凭证,造成严重的安全风险。
二、风险等级:
高
三、影响范围:
NAKIVO Backup & Replication <= 10.11.3.86570
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.nakivo.com/resources/download/trial-download/download/
2 VMware Aria Automation服务器端请求伪造漏洞(CVE-2025-22215)
一、漏洞描述:
VMware Aria Automation是美国威睿(VMware)公司的一个现代工作流自动化平台,可简化并自动执行复杂的数据中心基础架构任务,提高可延展性和敏捷性。VMware Aria Automation存在服务器端请求伪造漏洞,具有“组织成员”权限的攻击者可利用该漏洞枚举运行在主机/网络上的内部服务。
二、风险等级:
高
三、影响范围:
VMware Aria Automation
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25312
3 Huawei HarmonyOS访问控制漏洞(CVE-2024-56439)
一、漏洞描述:
Huawei HarmonyOS是中国华为(Huawei)公司的操作系统产品,提供基于微内核的全场景分布式操作系统。Huawei HarmonyOS 5.0.0版本的身份认证模块存在跨流程屏幕堆栈漏洞,攻击者可利用该漏洞影响服务的机密性。
二、风险等级:
高
三、影响范围:
Huawei HarmonyOS 5.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://consumer.huawei.com/en/support/bulletin/2025/1/
4 Planex MZK-DP300N跨站脚本漏洞(CVE-2025-21603)
一、漏洞描述:
Planex MZK-DP300N是日本Planex公司的一款酒店路由器(旅行路由器)。Planex MZK-DP300N 1.05及之前版本存在跨 站脚本漏洞,攻击者可利用该漏洞登录设备并控制设置,进而在用户的web浏览器上执行任意脚本。
二、风险等级:
高
三、影响范围:
Planex MZK-MF300N <= 1.05
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.planex.co.jp/support/download/mzk-dp300n/
页:
[1]