MEDIUMCVE-2025-24818

Nokia MantaRay NM 中存在操作系统命令注入 (OS Command Injection) 漏洞

平台

linux

组件

mantaray-nm

修复版本

25.0.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-24818 是 Nokia MantaRay NM 设备中发现的操作系统命令注入漏洞。由于日志搜索应用程序未能正确过滤操作系统命令中的特殊字符，攻击者可能利用此漏洞执行任意命令。此漏洞影响版本 1.0.0 之前的 Nokia MantaRay NM，建议尽快升级到 25R1-NM 以修复此问题。

影响与攻击场景

Nokia MantaRay NM 中的 CVE-2025-24818 存在一个重大的风险，原因是存在操作系统命令注入漏洞。此缺陷位于 Log Search 应用程序中，其中在操作系统命令中使用的特殊字符未得到适当的中和。攻击者可能利用此漏洞在底层系统上执行任意命令，从而可能危及数据和服务的机密性、完整性和可用性。此漏洞的严重程度需要立即关注，尤其是在 Log Search 应用程序用于关键监控和故障排除的环境中。缺少 KEV（知识工程向量）表明有关漏洞的信息相对较新，并且在完整评估可用之前可能存在被利用的风险。

利用背景

此漏洞位于 MantaRay NM 的 Log Search 应用程序中。攻击者可以通过在搜索参数或其他用于构建操作系统命令的输入字段中注入恶意命令来利用此漏洞。成功执行这些命令将允许攻击者访问机密信息、修改数据或甚至控制系统。利用的复杂性将取决于攻击者对 Log Search 应用程序的访问级别以及底层系统的配置。缺乏适当的身份验证或授权可能会使此漏洞更容易受到攻击。

哪些人处于风险中翻译中…

Organizations utilizing Nokia MantaRay NM in their network management infrastructure are at risk, particularly those running versions 1.0.0 and earlier. Environments where the Log Search application is exposed to external users or untrusted networks face a heightened risk of exploitation. Shared hosting environments utilizing vulnerable MantaRay NM instances are also particularly susceptible.

检测步骤翻译中…

• linux / server:

journalctl -u manta-ray-nm | grep -i "command injection"

• linux / server:

ps aux | grep -i "log search" | grep -i "command injection"

• generic web: Use curl or wget to test the Log Search endpoint with potentially malicious input (e.g., ; ls -l). Monitor access logs for suspicious requests containing command injection attempts.

攻击时间线

2026-04-07Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.11% (29% 百分位)

受影响的软件

组件mantaray-nm

供应商Nokia

影响范围修复版本

Earlier than 25R1-NM (exclusive) – Earlier than 25R1-NM (exclusive)25.0.1

时间线

已保留2025-01-24
发布日期2026-04-07
EPSS 更新日期2026-04-15

缓解措施和替代方案

Nokia 已发布 25R1-NM 版本以减轻 CVE-2025-24818。强烈建议所有 MantaRay NM 用户尽快升级到此版本。此更新修复了 Log Search 应用程序中特殊字符中和方面的缺陷，从而防止了操作系统命令注入。除了升级之外，还应审查 Log Search 应用程序的安全配置，以确保应用了最小权限原则，并且用户权限限制在严格必要范围内。监控系统日志是否存在可疑活动也有助于检测和响应潜在的利用尝试。

修复方法翻译中…

Actualice Nokia MantaRay NM a una versión posterior a 25R1-NM para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. Consulte la advisory de seguridad de Nokia para obtener instrucciones detalladas y la versión corregida específica.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-24818 是什么 — Nokia MantaRay NM 中的 Command Injection？

这是一种漏洞，允许攻击者在底层操作系统上执行任意命令。

Nokia MantaRay NM 中的 CVE-2025-24818 是否会影响我？

实施临时缓解措施，例如限制对 Log Search 应用程序的访问以及监控系统日志。

如何修复 Nokia MantaRay NM 中的 CVE-2025-24818？

目前没有特定的工具可用，但建议进行渗透测试和代码分析。

CVE-2025-24818 是否正在被积极利用？

这意味着有关漏洞的信息相对较新，并且在完整评估可用之前可能存在被利用的风险。

在哪里可以找到 Nokia MantaRay NM 关于 CVE-2025-24818 的官方安全通告？

请参阅 Nokia MantaRay NM 的官方文档或联系 Nokia 技术支持。