0x00 漏洞概述
CVE ID |
CVE-2020-15012 |
时 间 |
2020-10-09 |
类 型 |
目录遍历 |
等 级 |
高危 |
远程利用 |
是 |
影响范围 |
Nexus Repository Manager 2 <=2.14.18 |
Nexus Repository是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。它是搭建maven的镜像的工具之一,在全球范围内使用广泛。
0x01 漏洞详情
2020年10月08日,Sonatype发布安全公告,NexusRepository Manager 2中存在一个目录遍历漏洞,漏洞跟踪为CVE-2020-15012。成功利用此漏洞的攻击者能够执行目录遍历以读取敏感数据文件,并对用户公开任意文件。但要利用此漏洞,攻击者必须具有对Nexus Repository Manager instance的网络访问权限,才能查看配置文件或受保护的内容。
0x02 处置建议
目前官方已发布安全更新,建议将Nexus Repository Manager 2升级到2.14.19最新版本:
下载链接:
https://help.sonatype.com/repomanager2/download
0x03 参考链接
https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15012
0x04 时间线
2020-10-08 Sonatype发布安全公告
2020-10-09 VSRC发布安全通告
本文始发于微信公众号(维他命安全):CVE-2020-15012 | Nexus Repository Manager 2目录遍历漏洞通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论