CVE-2020-10199: Nexus Repository Manager代码执行通告

阅读量    88449 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

0x01 漏洞背景

2020年04月02日, 360CERT监测发现 Sonatype Security Team 官方发布了一则关于 Nexus Repository Manager 3.x 的远程代码执行漏洞通告。在通过认证的情况下,攻击者可以通过JavaEL表达式注入造成远程代码执行。

Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。

 

0x02 风险等级

360CERT对该漏洞进行评定

评定方式 等级
威胁等级 高危
影响面 一般

360CERT建议广大用户及时更新 Nexus Repository Manager 版本。做好资产 自查/自检/预防 工作,以免遭受攻击。

 

0x03 影响版本

Nexus Repository Manager OSS/Pro: <=3.21.1

 

0x04 修复建议

更新 Nexus Repository Manager 到3.21.2或更高版本。

下载地址:https://help.sonatype.com/repomanager3/download/

 

0x05 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现 Nexus Repository Manager 在全球均有使用。具体分布如下图所示。

 

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。

 

0x07 时间线

2020-03-31 Sonatype官方发布通告

2020-04-02 360CERT发布预警

 

0x08 参考链接

  1. https://support.sonatype.com/hc/en-us/articles/360044882533
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多