首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-15012 | Nexus Repository Manager 2目錄遍歷漏洞通告

發布時間 2020-10-09

0x00 漏洞概述

CVE  ID

CVE-2020-15012

時   間

2020-10-09

類   型

目錄遍歷

等   級

高危

遠程利用


影響范圍

Nexus Repository Manager 2 <=2.14.18

 

Nexus Repository是一個開源的倉庫管理系統,在安裝、配置、使用簡單的基礎上提供了更加豐富的功能。它是搭建maven的鏡像的工具之一,在全球范圍內使用廣泛。

0x01 漏洞詳情

image.png

 

2020年10月08日,Sonatype發布安全公告,Nexus Repository Manager 2中存在一個目錄遍歷漏洞,漏洞跟蹤為CVE-2020-15012。成功利用此漏洞的攻擊者能夠執行目錄遍歷以讀取敏感數據文件,并對用戶公開任意文件。但要利用此漏洞,攻擊者必須具有對Nexus Repository Manager instance的網絡訪問權限,才能查看配置文件或受保護的內容。

0x02 處置建議

目前官方已發布安全更新,建議將Nexus Repository Manager 2升級到2.14.19最新版本:

下載鏈接:

https://help.sonatype.com/repomanager2/download

0x03 參考鏈接

https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15012

0x04 時間線

2020-10-08  Sonatype發布安全公告

2020-10-09  VSRC發布安全通告

 

 

 

 

image.png

 

上一篇 下一篇