プラットフォーム
linux
コンポーネント
mantaray-nm
修正版
25.0.1
A Command Injection vulnerability (CVE-2025-24818) has been identified in Nokia MantaRay NM versions prior to 25R1-NM. This vulnerability stems from improper handling of special characters within OS commands within the Log Search application, potentially allowing attackers to execute arbitrary commands on the system. Affected versions include 1.0.0 and earlier. Applying the provided patch, version 25R1-NM, resolves this issue.
Nokia MantaRay NM の CVE-2025-24818 は、オペレーティングシステムコマンドインジェクションの脆弱性により重大なリスクをもたらします。この欠陥は、オペレーティングシステムのコマンドで使用される特殊文字が適切に中和されていない Log Search アプリケーションに存在します。攻撃者はこの脆弱性を悪用して、基盤となるシステムで任意のコマンドを実行し、データとサービスの機密性、完全性、および可用性を損なう可能性があります。この脆弱性の深刻さは、Log Search アプリケーションが重要な監視とトラブルシューティングに使用されている環境では特に、迅速な対応が必要です。KEV (Knowledge Engineering Vector) がないことは、脆弱性に関する情報が比較的最近のものであり、完全な評価が利用可能になる前に悪用されるリスクがあることを示しています。
この脆弱性は、MantaRay NM の Log Search アプリケーションに存在します。攻撃者は、検索パラメータまたはオペレーティングシステムのコマンドを構築するために使用される他の入力フィールドに悪意のあるコマンドを注入することで、この脆弱性を悪用する可能性があります。これらのコマンドの実行に成功すると、攻撃者は機密情報にアクセスしたり、データを変更したり、システムを制御したりする可能性があります。悪用の複雑さは、攻撃者が Log Search アプリケーションにどの程度のアクセス権を持っているか、および基盤となるシステムの構成によって異なります。適切な認証または認可がないと、この脆弱性を悪用しやすくなる可能性があります。
Organizations utilizing Nokia MantaRay NM in their network management infrastructure are at risk, particularly those running versions 1.0.0 and earlier. Environments where the Log Search application is exposed to external users or untrusted networks face a heightened risk of exploitation. Shared hosting environments utilizing vulnerable MantaRay NM instances are also particularly susceptible.
• linux / server:
journalctl -u manta-ray-nm | grep -i "command injection"• linux / server:
ps aux | grep -i "log search" | grep -i "command injection"• generic web:
Use curl or wget to test the Log Search endpoint with potentially malicious input (e.g., ; ls -l). Monitor access logs for suspicious requests containing command injection attempts.
disclosure
エクスプロイト状況
EPSS
0.11% (29% パーセンタイル)
Nokia は CVE-2025-24818 を軽減するためにバージョン 25R1-NM をリリースしました。すべての MantaRay NM ユーザーは、できるだけ早くこのバージョンにアップグレードすることを強くお勧めします。このアップデートは、Log Search アプリケーションの特殊文字の中和の欠陥を修正し、オペレーティングシステムのコマンドインジェクションを防ぎます。アップデートに加えて、Log Search アプリケーションのセキュリティ構成を確認して、最小特権の原則が適用され、ユーザー権限が厳密に必要な範囲に制限されていることを確認してください。システムログを不審なアクティビティがないか監視することも、潜在的な悪用試行を検出および対応するのに役立ちます。
Actualice Nokia MantaRay NM a una versión posterior a 25R1-NM para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. Consulte la advisory de seguridad de Nokia para obtener instrucciones detalladas y la versión corregida específica.
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者が基盤となるオペレーティングシステムで任意のコマンドを実行できる脆弱性です。
Log Search アプリケーションへのアクセスを制限したり、システムログを監視したりするなど、一時的な軽減策を実装してください。
現在、特定のツールはありませんが、ペネトレーションテストとコード分析をお勧めします。
これは、脆弱性に関する情報が比較的最近のものであり、完全な評価が利用可能になる前に悪用されるリスクがあることを示しています。
Nokia MantaRay NM の公式ドキュメントを参照するか、Nokia のテクニカルサポートにお問い合わせください。