CVE-2020-15012 | Nexus Repository Manager 2目录遍历漏洞通告

2020年10月10日10:54:46评论386 views字数 821阅读2分44秒阅读模式

0x00 漏洞概述

CVE ID	CVE-2020-15012	时间	2020-10-09
类型	目录遍历	等级	高危
远程利用	是	影响范围	Nexus Repository Manager 2 <=2.14.18

Nexus Repository是一个开源的仓库管理系统，在安装、配置、使用简单的基础上提供了更加丰富的功能。它是搭建maven的镜像的工具之一，在全球范围内使用广泛。

0x01 漏洞详情

CVE-2020-15012 | Nexus Repository Manager 2目录遍历漏洞通告

2020年10月08日，Sonatype发布安全公告，NexusRepository Manager 2中存在一个目录遍历漏洞，漏洞跟踪为CVE-2020-15012。成功利用此漏洞的攻击者能够执行目录遍历以读取敏感数据文件，并对用户公开任意文件。但要利用此漏洞，攻击者必须具有对Nexus Repository Manager instance的网络访问权限，才能查看配置文件或受保护的内容。

0x02 处置建议

目前官方已发布安全更新，建议将Nexus Repository Manager 2升级到2.14.19最新版本：

下载链接：

https://help.sonatype.com/repomanager2/download

0x03 参考链接

https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15012

0x04 时间线

2020-10-08 Sonatype发布安全公告

2020-10-09 VSRC发布安全通告

本文始发于微信公众号（维他命安全）：CVE-2020-15012 | Nexus Repository Manager 2目录遍历漏洞通告

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2020-15012 | Nexus Repository Manager 2目录遍历漏洞通告

0x00 漏洞概述

0x01 漏洞详情

0x02 处置建议

0x03 参考链接

0x04 时间线

CVE-2024-4040 CrushFTP 中的身份验证绕过和任意文件读取

利用 PUT 方法导致三星远程代码执行 (RCE)

泛微E-Mobile 6.0 client.do 命令执行漏洞

【在野0day】某友CRM系统某接口存在任意文件下载（大量资产存在）

【漏洞复现】短视频矩阵营销系统 ajax_uplaod接口处存在任意文件上传

漏洞速递 | Microsoft微软最新RCE漏洞（附EXP）

通达OA down 未授权员工信息泄露漏洞

漏洞预警 | FFmpeg释放后使用漏洞

漏洞预警 | Telegram Windows客户端可执行文件限制不当漏洞

漏洞预警 | 睿贝外贸ERP任意文件读取漏洞

发表评论

在线咨询

微信