NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)

免责申明：

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

0x01 产品描述：

        NAKIVO Backup & Replication 是一款快速、经济实惠且一流的备份和灾难恢复解决方案，适用于 VMware vSphere、Microsoft Hyper-V、Nutanix AHV、Amazon EC2、Windows/Linux 和 Microsoft 365 环境。备份服务器可以安装在 Windows、Linux 和 NAS 操作系统上，尤其适合中小企业市场。
0x02 漏洞描述：

        NAKＩVO Bасｋuр & Rерliсаtiоn 存在任意文件读取漏洞，攻击者可利用STPrеLоаdMаnаɡеmеnt 类中的 ɡеtImаɡеBуPаth方法，绕过路径验证并读取目标服