CVE-2020-29436:Nexus Repository Manager 3 XML外部实体注入漏洞风险通告

admin 2020年12月16日17:28:13评论63 views字数 1123阅读3分44秒阅读模式

2020年12月16日,Sonatype官方发布了 Nexus Repository Manager 3命令注入漏洞风险通告,在Nexus Repository Manager中发现了XML外部实体(XXE)注入漏洞。


1

漏洞详情


CVE-2020-29436: XML外部实体注入漏洞

 

在 Nexus Repository Manager 3中存在XML外部实体注入( XXE )漏洞。该漏洞使具有NXRM中管理帐户的攻击者能够以一种方式配置系统,使他们可以查看文件系统上的文件并与NXRM可以访问的任何后端或外部系统进行交互攻击者必须在Repository Manager实例中具有管理级别的用户帐户才能以这种方式配置系统。

 

Nexus Repository是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。


2漏洞编号


CVE-2020-29436


3

漏洞等级

高危


4

受影响的版本


Nexus Repository Manager 3 <= 3.28.1


5

安全版本


Nexus Repository Manager 3.29.0-02


6

腾讯安全网络空间测绘


腾讯安全网络空间测绘结果显示,Nexus Repository Manager全球应用广泛,在应用地理分布上,中国占据64.07%,远远超过其他国家,其次是美国、德国、法国。中国大陆地区,浙江、广东、北京位居前3。

CVE-2020-29436:Nexus Repository Manager 3 XML外部实体注入漏洞风险通告

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系[email protected]了解产品详情。


7

漏洞修复建议


腾讯安全专家建议受影响的用户升级到安全版本。

下载地址:

https://help.sonatype.com/repomanager3/download


欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。

CVE-2020-29436:Nexus Repository Manager 3 XML外部实体注入漏洞风险通告


参考链接:

https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15


CVE-2020-29436:Nexus Repository Manager 3 XML外部实体注入漏洞风险通告

招聘广告

CVE-2020-29436:Nexus Repository Manager 3 XML外部实体注入漏洞风险通告

腾讯安全研究团队欢迎渗透测试安全圈内同行加盟,有以下经历者优先:挖掘到的漏洞对安全圈产生重大影响力;参与国内外知名安全比赛,排名靠前;在高级别红蓝对抗演练中对所在攻击队拿分有突出贡献。有意请投简历到[email protected],诚邀加盟!


更多岗位信息,请点击这里查阅!


本文始发于微信公众号(腾讯安全威胁情报中心):CVE-2020-29436:Nexus Repository Manager 3 XML外部实体注入漏洞风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月16日17:28:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2020-29436:Nexus Repository Manager 3 XML外部实体注入漏洞风险通告http://cn-sec.com/archives/205791.html

发表评论

匿名网友 填写信息