La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha agregado un defecto de seguridad de alta severidad que impacta el software de copia de seguridad y replicación nakivo a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2024-48248 (puntaje CVSS: 8.6), un error transversal de ruta absoluta que podría permitir que un atacante no autenticado lea archivos en el host de destino, incluidos los sensibles como «ETC/Shadow» a través del punto final «/C/Router». Afecta todas las versiones del software antes de la versión 10.11.3.86570.
«La copia de seguridad y la replicación nakivo contienen una vulnerabilidad de transversal de ruta absoluta que permite a un atacante leer archivos arbitrarios», dijo CISA en un aviso.
La explotación exitosa de la deficiencia podría permitir que un adversario lea datos confidenciales, incluidos archivos de configuración, copias de seguridad y credenciales, que luego podrían actuar como un trampolín para obtener más compromisos.
Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza, pero el desarrollo se produce después de que WatchToWr Labs publicó una explotación de prueba de concepto (POC) hacia fines del mes pasado. El problema se ha abordado a partir de noviembre de 2024 con la versión V11.0.0.88174.
La firma de ciberseguridad señaló además que la vulnerabilidad de lectura de archivo arbitraria no autenticada podría armarse para obtener todas las credenciales almacenadas utilizadas por la solución Nakivo objetivo y alojado en la base de datos «Product01.h2.DB».
También se agregan al catálogo de Kev hay otros dos defectos –
- CVE-2025-1316 (Puntuación CVSS: 9.3)-La cámara IP EDIMAX IC-7100 contiene una vulnerabilidad de inyección de comando del sistema operativo debido a la desinfección de entrada inadecuada que permite a un atacante lograr una ejecución de código remoto a través de solicitudes especialmente diseñadas (sin parpadear debido al dispositivo que alcanza el final de la vida al final de la vida)
- CVE-2017-12637 (Puntuación CVSS: 7.5) – SAP NetWeaver Application Server (AS) Java contiene una vulnerabilidad transversal de directorio en Scheduler/UI/JS/FFFFFFFFFBCA41EB4/UIUTILJAVASCRIPTJS que permite a un atacante remoto leer archivos arbitrarios a través de un .. (Dot Dot) en la cadena de consultas
La semana pasada, Akamai reveló que CVE-2025-1316 está siendo armado por los malos actores para atacar las cámaras con credenciales predeterminadas para desplegar al menos dos variantes diferentes de Mirai Botnet desde mayo de 2024.
A la luz de la explotación activa, las agencias federales de rama ejecutiva civil (FCEB) deben aplicar las mitigaciones necesarias antes del 9 de abril de 2025 para asegurar sus redes.