首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-10199| Nexus Repository Manager遠程代碼執行漏洞通告

發布時間 2020-04-02

0x00 漏洞概述


CVE   ID

CVE-2020-10199

   

2020-04-02

   

遠程代碼執行

   

高危

遠程利用

影響范圍

Nexus Repository Manager OSS/Pro 3.x <= 3.21.1



0x01 漏洞詳情




Sonatype Nexus 是一個 Maven 的倉庫管理系統,它提供了強大的倉庫管理、構件搜索等功能,并且可以用來搭建 Maven 倉庫私服,在代理遠程倉庫的同時維護本地倉庫,以節省帶寬和時間。


在 Nexus Repository Manager OSS/Pro 3.21.1 及之前的版本中,經過授權認證的攻擊者,可以通過 JavaEL 表達式注入造成遠程代碼執行,獲取系統權限。


0x02 處置建議


更新 Nexus Repository Manager 到3.21.2或更高版本:

https://help.sonatype.com/repomanager3/download/


0x03 相關新聞


https://support.sonatype.com/hc/en-us/articles/360044882533


0x04 參考鏈接


https://nvd.nist.gov/vuln/detail/CVE-2020-10199


0x05 時間線


2020-03-31 Sonatype官方發布漏洞通告

2020-04-01 CVE 發布該漏洞



上一篇 下一篇