记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Nexus Repository Manager远程代码执行漏洞(CVE-2020-10199)

2020-04-04 15:55
Nexus Repository是一款通用的软件包仓库管理(Universal Repository Manager)服务,可以用来搭建 Maven 仓库私服。Nexus Repository Manager 3系列版本存在一个远程代码执行漏洞,CVE编号CVE-2020-10199。该漏洞允许拥有Nexus Repository Manager 上任何类型帐户的攻击者通过向Nexus Repository Manager 发出恶意 JavaEL 表达式来执行任意代码。

漏洞名称:Nexus Repository Manager远程代码执行漏洞

威胁等级:高危

影响范围:Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

漏洞类型:代码执行

利用难度:较难

漏洞分析

1 Nexus Repository Manager介绍

Nexus Repository是一款通用的软件包仓库管理(Universal Repository Manager)服务,可以用来搭建 Maven 仓库私服。它提供了强大的仓库管理、构件搜索等功能,并且,还可以在代理远程仓库的同时维护本地仓库,以节省大量资源。

2 漏洞描述

近日,深信服安全团队监测到了一则Sonatype 官方安全公告,该公告声明,Nexus Repository Manager 3系列版本存在一个远程代码执行漏洞,CVE编号CVE-2020-10199。该漏洞允许拥有Nexus Repository Manager 上任何类型帐户的攻击者通过向Nexus Repository Manager 发出恶意 JavaEL 表达式来执行任意代码。

影响范围

目前受影响的Nexus Repository Manager版本:

Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

修复建议

目前Sonatype 官方已发布修复版本。

用户需要更新到Nexus Repository Manager OSS/Pro 3.21.2版本:

https://help.sonatype.com/repomanager3/download/

参考链接

https://support.sonatype.com/hc/en-us/articles/360044882533

知识来源: vulsee.com/archives/vulsee_2020/0404_10954.html
想收藏或者和大家分享这篇好文章→复制链接地址

“Nexus Repository Manager远程代码执行漏洞(CVE-2020-10199)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云