【已复现】Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)安全风险通告

Sonatype Nexus Repository 3 < 3.68.1

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Sonatype Nexus Repository 3 < 3.68.1

官方下载地址：

https://help.sonatype.com/repomanager3/download

缓解方案：

1.对于 Sonatype Nexus Repository 的每个实例，编辑

(basedir)/etc/jetty/jetty.xml 并从文件中删除这一行：

<Set name="resourceBase"><Property name="karaf.base"/>/public</Set>

重新启动 Nexus 存储库以使更改生效。

注意：此更改可防止利用该漏洞，但也会防止应用程序从 （installdir）/public 目录加载文件，可能会导致轻微的UI渲染问题，而不会影响核心产品功能。

2.如果对 Nexus Repository 的访问受 AWS WAF 规则保护，则 GenericLFI_URIPATH 规则可以防范此漏洞。

https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)的防护。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：8064，建议用户尽快升级检测规则库至2405231600以上；

奇安信开源卫士已支持

奇安信开源卫士20240523. 633 版本已支持对Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)的检测。

奇安信自动化渗透测试系统检测方案

奇安信自动化渗透测试系统已经能够有效检测针对该漏洞的攻击，请将插件版本和指纹版本升级到202405312600以上版本。规则名称：Sonatype Nexus Repository 3 CVE-2024-4956 路径遍历漏洞。奇安信自动化渗透测试系统规则升级方法：系统管理->升级管理->插件升级（指纹升级），选择“网络升级”或“本地升级”。

[1]https://support.sonatype.com/hc/en-us/articles/29416509323923-CVE-2024-4956-Nexus-Repository-3-Path-Traversal-2024-05-16

[2]https://support.sonatype.com/hc/en-us/articles/29412417068819-Mitigations-for-CVE-2024-4956-Nexus-Repository-3-Vulnerability

2024年5月23日，奇安信 CERT发布安全风险通告。