微慑信息网

Nexus Repository Manager远程代码执行漏洞(CVE-2020-10199)

Nexus Repository是一款通用的软件包仓库管理(Universal Repository Manager)服务,可以用来搭建 Maven 仓库私服。Nexus Repository Manager 3系列版本存在一个远程代码执行漏洞,CVE编号CVE-2020-10199。该漏洞允许拥有Nexus Repository Manager 上任何类型帐户的攻击者通过向Nexus Repository Manager 发出恶意 JavaEL 表达式来执行任意代码。

漏洞名称:Nexus Repository Manager远程代码执行漏洞

威胁等级:高危

影响范围:Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

漏洞类型:代码执行

利用难度:较难

漏洞分析

1 Nexus Repository Manager介绍

Nexus Repository是一款通用的软件包仓库管理(Universal Repository Manager)服务,可以用来搭建 Maven 仓库私服。它提供了强大的仓库管理、构件搜索等功能,并且,还可以在代理远程仓库的同时维护本地仓库,以节省大量资源。

2 漏洞描述

近日,深信服安全团队监测到了一则Sonatype 官方安全公告,该公告声明,Nexus Repository Manager 3系列版本存在一个远程代码执行漏洞,CVE编号CVE-2020-10199。该漏洞允许拥有Nexus Repository Manager 上任何类型帐户的攻击者通过向Nexus Repository Manager 发出恶意 JavaEL 表达式来执行任意代码。

影响范围

目前受影响的Nexus Repository Manager版本:

Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

修复建议

目前Sonatype 官方已发布修复版本。

用户需要更新到Nexus Repository Manager OSS/Pro 3.21.2版本:

https://help.sonatype.com/repomanager3/download/

参考链接

https://support.sonatype.com/hc/en-us/articles/360044882533

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Nexus Repository Manager远程代码执行漏洞(CVE-2020-10199)

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册