【高危】- Nexus Repository Manager 3 远程代码执行漏洞(CVE-2020-15871)
■ 漏洞描述
Sonatype Nexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。
Nexus Repository Manager 3.25.0之前版本中存在一处远程代码执行漏洞(CVE-2020-15871),具有适当权限的攻击者可以像运行Nexus Repository Manager服务器一样运行任意代码。
或者,攻击者可以诱使具有正确权限的用户运行Nexus Repository Manager服务器时运行任意代码。
■ 影响范围
Nexus Repository Manager 3.x OSS / Pro <= 3.25.0
■ 漏洞检测
1、匹配系统版本
■ 漏洞修复
从官网下载安全版本Nexus Repository Manager OSS/Pro >= 3.25.1。下载地址:
https://help.sonatype.com/repomanager3/download/
■ 临时修复
对服务进行访问限制,不允许开放到公网。
■ 漏洞详情
https://mp.weixin.qq.com/s/iF-uadJuQY0d4bXeI4f0bg
Sonatype Nexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。
Nexus Repository Manager 3.25.0之前版本中存在一处远程代码执行漏洞(CVE-2020-15871),具有适当权限的攻击者可以像运行Nexus Repository Manager服务器一样运行任意代码。
或者,攻击者可以诱使具有正确权限的用户运行Nexus Repository Manager服务器时运行任意代码。
■ 影响范围
Nexus Repository Manager 3.x OSS / Pro <= 3.25.0
■ 漏洞检测
1、匹配系统版本
■ 漏洞修复
从官网下载安全版本Nexus Repository Manager OSS/Pro >= 3.25.1。下载地址:
https://help.sonatype.com/repomanager3/download/
■ 临时修复
对服务进行访问限制,不允许开放到公网。
■ 漏洞详情
https://mp.weixin.qq.com/s/iF-uadJuQY0d4bXeI4f0bg