发布时间:2020-12-22 13:30:45,来源:深信服科技股份有限公司、中国信息通信研究院
近日,监测发现 Nexus Repository Manager 3 发布了 Nexus Repository Manager 3 命令注入漏洞的风险通告,该漏洞编号为 CVE-2020-29436。拥有管理员权限的远程攻击者通过构造特定的XML请求 ,可造成 XML外部实体注入。对此,建议受影响用户及时升级至3.29.0及以上版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
高危
三、漏洞详情
Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。
在 Nexus Repository Manager 3 中存在XML外部实体注入( XXE )漏洞。拥有管理员权限的攻击者能够利用该漏洞配置系统、查看文件系统上的文件。并与 Nexus Repository Manager 3 可以访问的任何后端或外部系统进行交互。
四、影响范围
Sonatype:Nexus Repository Manager 3 : <=3.28.1
五、处置建议
建议受影响用户及时升级至3.29.0及以上版本,下载地址为:https://help.sonatype.com/repomanager3/download
六、参考链接
1)https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15