CVE-2020-15012 | Nexus Repository Manager 2目录遍历漏洞通告

  • A+
所属分类:安全漏洞

 

0x00 漏洞概述


CVE ID

CVE-2020-15012

时  间

2020-10-09

类  型

目录遍历

等  级

高危

远程利用

               是

影响范围

Nexus Repository Manager 2 <=2.14.18


Nexus Repository是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。它是搭建maven的镜像的工具之一,在全球范围内使用广泛。


0x01 漏洞详情


CVE-2020-15012 | Nexus Repository Manager 2目录遍历漏洞通告

 

2020年10月08日,Sonatype发布安全公告,NexusRepository Manager 2中存在一个目录遍历漏洞,漏洞跟踪为CVE-2020-15012。成功利用此漏洞的攻击者能够执行目录遍历以读取敏感数据文件,并对用户公开任意文件。但要利用此漏洞,攻击者必须具有对Nexus Repository Manager instance的网络访问权限,才能查看配置文件或受保护的内容。


0x02 处置建议


目前官方已发布安全更新,建议将Nexus Repository Manager 2升级到2.14.19最新版本:

下载链接:

https://help.sonatype.com/repomanager2/download


0x03 参考链接


https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15012


0x04 时间线


2020-10-08 Sonatype发布安全公告

2020-10-09 VSRC发布安全通告

 

 

 

 


 


本文始发于微信公众号(维他命安全):CVE-2020-15012 | Nexus Repository Manager 2目录遍历漏洞通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: