La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha anexo un defecto de seguridad de adhesión severidad que impacta el software de copia de seguridad y replicación nakivo a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2024-48248 (puntaje CVSS: 8.6), un error transversal de ruta absoluta que podría permitir que un atacante no autenticado lea archivos en el host de destino, incluidos los sensibles como “ETC/Shadow” a través del punto final “/C/Router”. Afecta todas las versiones del software antiguamente de la lectura 10.11.3.86570.
“La copia de seguridad y la replicación nakivo contienen una vulnerabilidad de transversal de ruta absoluta que permite a un atacante deletrear archivos arbitrarios”, dijo CISA en un aviso.
La explotación exitosa de la deficiencia podría permitir que un adversario lea datos confidenciales, incluidos archivos de configuración, copias de seguridad y credenciales, que luego podrían desempeñarse como un trampolín para obtener más compromisos.
Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza, pero el mejora se produce a posteriori de que WatchToWr Labs publicó una explotación de prueba de concepto (POC) en dirección a fines del mes pasado. El problema se ha abordado a partir de noviembre de 2024 con la lectura V11.0.0.88174.
La firma de ciberseguridad señaló encima que la vulnerabilidad de lección de archivo arbitraria no autenticada podría armarse para obtener todas las credenciales almacenadas utilizadas por la alternativa Nakivo objetivo y alojado en la cojín de datos “Product01.h2.DB”.
Asimismo se agregan al catálogo de Kev hay otros dos defectos –
- CVE-2025-1316 (Puntuación CVSS: 9.3)-La cámara IP EDIMAX IC-7100 contiene una vulnerabilidad de inyección de comando del sistema activo correcto a la desinfección de entrada inadecuada que permite a un atacante obtener una ejecución de código remoto a través de solicitudes especialmente diseñadas (sin parpadear correcto al dispositivo que alcanza el final de la vida al final de la vida)
- CVE-2017-12637 (Puntuación CVSS: 7.5) – SAP NetWeaver Application Server (AS) Java contiene una vulnerabilidad transversal de directorio en Scheduler/UI/JS/FFFFFFFFFBCA41EB4/UIUTILJAVASCRIPTJS que permite a un atacante remoto deletrear archivos arbitrarios a través de un .. (Dot Dot) en la condena de consultas
La semana pasada, Akamai reveló que CVE-2025-1316 está siendo armado por los malos actores para atacar las cámaras con credenciales predeterminadas para desplegar al menos dos variantes diferentes de Mirai Botnet desde mayo de 2024.
A la luz de la explotación activa, las agencias federales de rama ejecutiva civil (FCEB) deben aplicar las mitigaciones necesarias antiguamente del 9 de abril de 2025 para consolidar sus redes.
