发布时间:2020-08-04 09:25:52,来源:腾讯云、深信服、上海观安、中国信通院
一、基本情况
近日,Sonatype发布了关于Nexus Repository Manager远程代码执行漏洞(CVE-2020-15871)的通告,漏洞威胁较高,且影响范围较大。攻击者可利用该漏洞执行任意代码。
建议广大用户尽快下载更新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞详情
Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。
Sonatype Nexus Repository Manager OSS/Pro 3.25.1之前版本中存在远程代码执行漏洞,具有适当权限的攻击者可利用该漏洞执行任意代码。
三、影响范围
Nexus Repository Manager 3 OSS < 3.25.1
Nexus Repository Manager 3 Pro < 3.25.1
四、处置建议
目前官方已发布漏洞修复版本,建议用户尽快下载并安装修复版本。
https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29
五、参考链接
https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29
https://support.sonatype.com/hc/zh-CN/articles/360051424554
https://support.sonatype.com/hc/en-us/articles/360051424754