Plataforma
linux
Componente
mantaray-nm
Corrigido em
25.0.1
A Command Injection vulnerability (CVE-2025-24818) has been identified in Nokia MantaRay NM versions prior to 25R1-NM. This vulnerability stems from improper handling of special characters within OS commands within the Log Search application, potentially allowing attackers to execute arbitrary commands on the system. Affected versions include 1.0.0 and earlier. Applying the provided patch, version 25R1-NM, resolves this issue.
A vulnerabilidade CVE-2025-24818 no Nokia MantaRay NM representa um risco significativo devido a uma injeção de comandos do sistema operacional (SO). Esta falha reside no aplicativo de Busca de Logs, onde os caracteres especiais usados em comandos do SO não são devidamente neutralizados. Um atacante poderia explorar esta vulnerabilidade para executar comandos arbitrários no sistema subjacente, comprometendo potencialmente a confidencialidade, integridade e disponibilidade de dados e serviços. A severidade desta vulnerabilidade exige atenção imediata, especialmente em ambientes onde o aplicativo de Busca de Logs é usado para monitoramento e solução de problemas críticos. A ausência de um KEV (Knowledge Engineering Vector) indica que a informação sobre a vulnerabilidade é relativamente nova e pode haver um risco de exploração antes que uma avaliação completa esteja disponível.
A vulnerabilidade existe dentro do aplicativo de Busca de Logs do MantaRay NM. Um atacante poderia explorá-la injetando comandos maliciosos em parâmetros de busca ou outros campos de entrada usados para construir comandos do sistema operacional. A execução bem-sucedida desses comandos permitiria ao atacante acessar informações confidenciais, modificar dados ou até mesmo assumir o controle do sistema. A complexidade da exploração dependerá do nível de acesso que o atacante tem ao aplicativo de Busca de Logs e da configuração do sistema subjacente. A falta de autenticação ou autorização adequada pode facilitar a exploração desta vulnerabilidade.
Organizations utilizing Nokia MantaRay NM in their network management infrastructure are at risk, particularly those running versions 1.0.0 and earlier. Environments where the Log Search application is exposed to external users or untrusted networks face a heightened risk of exploitation. Shared hosting environments utilizing vulnerable MantaRay NM instances are also particularly susceptible.
• linux / server:
journalctl -u manta-ray-nm | grep -i "command injection"• linux / server:
ps aux | grep -i "log search" | grep -i "command injection"• generic web:
Use curl or wget to test the Log Search endpoint with potentially malicious input (e.g., ; ls -l). Monitor access logs for suspicious requests containing command injection attempts.
disclosure
Status do Exploit
EPSS
0.11% (percentil 29%)
A Nokia lançou a versão 25R1-NM para mitigar a vulnerabilidade CVE-2025-24818. Recomenda-se fortemente que todos os usuários do MantaRay NM atualizem para esta versão o mais rápido possível. A atualização corrige a falha de neutralização de caracteres especiais no aplicativo de Busca de Logs, prevenindo a injeção de comandos do sistema operacional. Além da atualização, revise as configurações de segurança do aplicativo de Busca de Logs para garantir que os princípios de menor privilégio sejam aplicados e as permissões do usuário sejam limitadas ao estritamente necessário. Monitorar os logs do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a tentativas de exploração.
Actualice Nokia MantaRay NM a una versión posterior a 25R1-NM para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. Consulte la advisory de seguridad de Nokia para obtener instrucciones detalladas y la versión corregida específica.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a um atacante executar comandos arbitrários no sistema operacional subjacente.
Implemente medidas de mitigação temporárias, como restringir o acesso ao aplicativo de Busca de Logs e monitorar os logs do sistema.
Atualmente, não existem ferramentas específicas disponíveis, mas testes de penetração e análise de código são recomendados.
Significa que a informação sobre a vulnerabilidade é relativamente nova e pode haver um risco de exploração antes que uma avaliação completa esteja disponível.
Consulte a documentação oficial do Nokia MantaRay NM ou entre em contato com o suporte técnico da Nokia.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.