【中危】- Nexus Repository Manager 3 远程代码执行漏洞(CVE-2020-10199)
■ 漏洞描述
3 月 31 日,Sonatype 官方发布安全公告,声明修复了存在于 Nexus Repository Manager 3 中的远程代码执行漏洞 CVE-2020-10199。
Sonatype Nexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。
在 Nexus Repository Manager OSS/Pro 3.21.1 及之前的版本中,由于某处功能安全处理不当,导致经过授权认证的攻击者,可以在远程通过构造恶意的 HTTP 请求,在服务端执行任意恶意代码,获取系统权限。
此漏洞的利用需要攻击者具备任意类型的账号权限。
■ 影响范围
Nexus Repository Manager OSS/Pro 3.x <= 3.21.1
■ 漏洞检测
1、检测方法:查看系统版本。
■ 漏洞修复
升级 Nexus Repository Manager OSS/Pro 3 到 3.21.2 版本:
https://nexus.io/
■ 临时修复
1、禁止外网访问。
■ 漏洞详情
https://support.sonatype.com/hc/en-us/articles/360044882533-CVE-2020-10199-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-03-31
3 月 31 日,Sonatype 官方发布安全公告,声明修复了存在于 Nexus Repository Manager 3 中的远程代码执行漏洞 CVE-2020-10199。
Sonatype Nexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。
在 Nexus Repository Manager OSS/Pro 3.21.1 及之前的版本中,由于某处功能安全处理不当,导致经过授权认证的攻击者,可以在远程通过构造恶意的 HTTP 请求,在服务端执行任意恶意代码,获取系统权限。
此漏洞的利用需要攻击者具备任意类型的账号权限。
■ 影响范围
Nexus Repository Manager OSS/Pro 3.x <= 3.21.1
■ 漏洞检测
1、检测方法:查看系统版本。
■ 漏洞修复
升级 Nexus Repository Manager OSS/Pro 3 到 3.21.2 版本:
https://nexus.io/
■ 临时修复
1、禁止外网访问。
■ 漏洞详情
https://support.sonatype.com/hc/en-us/articles/360044882533-CVE-2020-10199-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-03-31