Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞风险通告

  • A+
所属分类:安全漏洞

1

漏洞描述


在apache-shiro中发现CVE-2020-13933,影响了Nexus Repository Manager 2和3。未经身份验证的用户可以提交特制的HTTP请求,这可能会导致身份验证绕过

 

Apache Shiro是美国Apache软件基金会的一套用于执行身份验证、授权、密码和会话管理的Java安全框架。


2

漏洞编号


CVE-2020-13933


3漏洞等级


高危


4

受影响的版本


Nexus Repository Manager 2 <= 2.14.18

Nexus Repository Manager 3 <= 3.26.1


5

安全版本


Nexus Repository Manager 2 >= 2.14.19

Nexus Repository Manager 3 >=3.27.0


腾讯安全专家建议受影响的用户尽快升级到安全版本。


6

腾讯安全网络空间测绘


腾讯安全网络空间测绘结果显示,Nexus Repository Manager组件在全球有广泛的应用,中国、美国、德国分别位居前三位(占比70%)。国内主要分布在浙江、广东、北京、上海等省市(占比超过70%)。

Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞风险通告


腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系[email protected] 了解产品详情。


7

漏洞修复


建议受影响的用户将Nexus Repository Manager 3的所有实例升级到 3.27.0或更高版本,将Nexus Repository Manager 2的所有实例升级到2.14.19或更高版本。

 

可以从以下位置下载最新版本:

Nexus Repository Manager 2下载

https://help.sonatype.com/repomanager2/download

 

Nexus Repository Manager 3下载

https://help.sonatype.com/repomanager3/download


8

腾讯安全解决方案


腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-16之后的版本,已支持对Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞(漏洞编号:CVE-2020-13933)进行检测。


关于腾讯T-Sec主机安全(云镜)的更多信息,可长按识别以下二维码查阅。

Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞风险通告


参考链接

https://support.sonatype.com/hc/en-us/articles/360053556313-CVE-2020-13933-Nexus-Repository-Manger-2-3-Shiro-Authentication-Bypass



Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞风险通告

插播一条招聘广告(长期)

Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞风险通告

腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到[email protected],诚邀加盟!

本文始发于微信公众号(腾讯安全威胁情报中心):Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: