Plateforme
linux
Composant
mantaray-nm
Corrigé dans
25.0.1
La vulnérabilité CVE-2025-24819 affecte l'application Software Manager de Nokia MantaRay NM, permettant une traversée de chemin (Path Traversal) en raison d'une validation incorrecte des paramètres d'entrée du système de fichiers. Cette faille peut potentiellement permettre à un attaquant d'accéder à des fichiers sensibles sur le système. Les versions concernées sont 1.0.0 et toutes les versions antérieures à 25R1-NM (exclusivement). Une version corrigée, 25R1-NM, est désormais disponible.
La vulnérabilité CVE-2025-24819 dans Nokia MantaRay NM affecte l'application Software Manager, permettant à un attaquant, par la manipulation des paramètres d'entrée dans le système de fichiers, d'accéder à des fichiers et répertoires non autorisés. Cela pourrait entraîner la divulgation d'informations sensibles, la modification de fichiers système ou même l'exécution de code malveillant si combinée à d'autres vulnérabilités. La gravité de cette vulnérabilité dépend du niveau d'accès de l'attaquant au réseau et de la sensibilité des données stockées dans le système. Il est fortement recommandé d'appliquer la mise à jour 25R1-NM pour atténuer ce risque. La cause principale est une validation incorrecte des entrées utilisateur, permettant la manipulation des chemins de fichiers.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes malveillantes à l'application Software Manager, en manipulant les paramètres d'entrée pour accéder à des fichiers en dehors du répertoire prévu. Cela pourrait être réalisé via une interface web ou en interagissant directement avec l'API de l'application. Le succès de l'exploitation dépend de la configuration du système et de la présence d'autres vulnérabilités permettant l'exécution de code. Il est recommandé de réaliser des tests d'intrusion pour identifier les vecteurs d'attaque potentiels et évaluer l'efficacité des mesures de sécurité mises en œuvre. Le KEV (Knowledge Enrichment Vector) n'est pas disponible pour cette vulnérabilité.
Organizations utilizing Nokia MantaRay NM in their network infrastructure, particularly those running versions prior to 25R1-NM, are at risk. This includes deployments where the Software Manager application is exposed to external networks or untrusted users. Shared hosting environments running MantaRay NM are also particularly vulnerable.
• linux / server:
journalctl -u manta-ray-nm | grep -i "path traversal"• linux / server:
lsof | grep /opt/manta-ray/software_manager/ # Check for unusual file accessdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
La solution pour CVE-2025-24819 est de mettre à jour Nokia MantaRay NM à la version 25R1-NM ou ultérieure. Cette mise à jour corrige la vulnérabilité en mettant en œuvre une validation plus robuste des paramètres d'entrée liés au système de fichiers dans l'application Software Manager. En attendant que la mise à jour soit appliquée, des mesures de sécurité supplémentaires sont recommandées, telles que la restriction de l'accès à l'application Software Manager aux utilisateurs autorisés et la surveillance du système à la recherche de signes d'exploitation. L'examen régulier des journaux système est crucial. Le patching est la meilleure défense contre ce type de vulnérabilité.
Actualice Nokia MantaRay NM a una versión posterior a 25R1-NM para mitigar la vulnerabilidad de recorrido de ruta relativa. Consulte la advisory de seguridad de Nokia para obtener más detalles e instrucciones de actualización específicas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un type de vulnérabilité qui permet à un attaquant d'accéder à des fichiers et répertoires sur un serveur web qui ne sont pas destinés à être accessibles publiquement.
Vérifiez la version de votre Nokia MantaRay NM. Si elle est antérieure à 25R1-NM, vous êtes probablement affecté.
Mettez en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès et la surveillance du système.
Les scanners de vulnérabilités peuvent détecter cette vulnérabilité, mais la mise à jour est la solution la plus efficace.
KEV (Knowledge Enrichment Vector) est un identifiant unique fournissant des informations supplémentaires sur la vulnérabilité. Il n'est pas disponible pour cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.