【漏洞预警】Sonatype Nexus Repository 3<3.68.1 任意文件下载漏洞CVE-2024-4956

2024年5月20日18:08:23评论58 views字数 510阅读1分42秒阅读模式

漏洞描述:
Sonatype Nexus Repository 3是开源的制品库,用于存储和管理软件构建制品,受影响版本中存在路径遍历漏洞,未经身份验证的攻击者可通过构造恶意的URL 下载目标系统上的任意文件。

影响范围:
nexus_repository_manager_3@(-∞, 3.68.1)

修复方案:

移除/etc/jetty/jetty.xml中/public路径访问配置

参考链接:
https://support.sonatype.com/hc/en-us/articles/29416509323923-CVE-2024-4956-Nexus-Repository-3-Path-Traversal-2024-05-16

https://support.sonatype.com/hc/en-us/articles/29412417068819-Mitigations-for-CVE-2024-4956-Nexus-Repository-3-Vulnerability

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Sonatype Nexus Repository 3<3.68.1 任意文件下载漏洞CVE-2024-4956

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2024年5月20日18:08:23
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
【漏洞预警】Sonatype Nexus Repository 3<3.68.1 任意文件下载漏洞CVE-2024-4956https://cn-sec.com/archives/2759499.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

Kimsuky APT组织利用 BlueKeep RDP 漏洞对韩国日本发起攻击