CVE-2020-10199: Nexus Repository Manager代码执行通告

阅读量169974

发布时间 : 2020-04-02 18:39:18

 

0x01 漏洞背景

2020年04月02日, 360CERT监测发现 Sonatype Security Team 官方发布了一则关于 Nexus Repository Manager 3.x 的远程代码执行漏洞通告。在通过认证的情况下,攻击者可以通过JavaEL表达式注入造成远程代码执行。

Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。

 

0x02 风险等级

360CERT对该漏洞进行评定

评定方式 等级
威胁等级 高危
影响面 一般

360CERT建议广大用户及时更新 Nexus Repository Manager 版本。做好资产 自查/自检/预防 工作,以免遭受攻击。

 

0x03 影响版本

Nexus Repository Manager OSS/Pro: <=3.21.1

 

0x04 修复建议

更新 Nexus Repository Manager 到3.21.2或更高版本。

下载地址:https://help.sonatype.com/repomanager3/download/

 

0x05 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现 Nexus Repository Manager 在全球均有使用。具体分布如下图所示。

 

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。

 

0x07 时间线

2020-03-31 Sonatype官方发布通告

2020-04-02 360CERT发布预警

 

0x08 参考链接

  1. https://support.sonatype.com/hc/en-us/articles/360044882533

本文由360CERT安全通告原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/202386

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360CERT安全通告
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66