一、基本情况

 近日，监测发现 Nexus Repository Manager 3 发布了 Nexus Repository Manager 3 命令注入漏洞的风险通告，该漏洞编号为 CVE-2020-29436。拥有管理员权限的远程攻击者通过构造特定的XML请求 ,可造成 XML外部实体注入。对此，建议受影响用户及时升级至3.29.0及以上版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

 Nexus Repository 是一个开源的仓库管理系统，在安装、配置、使用简单的基础上提供了更加丰富的功能。

在 Nexus Repository Manager 3 中存在XML外部实体注入（ XXE ）漏洞。拥有管理员权限的攻击者能够利用该漏洞配置系统、查看文件系统上的文件。并与 Nexus Repository Manager 3 可以访问的任何后端或外部系统进行交互。

四、影响范围

Sonatype:Nexus Repository Manager 3 : <=3.28.1

五、处置建议

建议受影响用户及时升级至3.29.0及以上版本，下载地址为：https://help.sonatype.com/repomanager3/download

 六、参考链接

1）https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15