漏洞描述:
Sonatype Nexus Repository 3是开源的制品库,用于存储和管理软件构建制品,受影响版本中存在路径遍历漏洞,未经身份验证的攻击者可通过构造恶意的URL 下载目标系统上的任意文件。
影响范围:
nexus_repository_manager_3@(-∞, 3.68.1)
修复方案:
移除/etc/jetty/jetty.xml中/public路径访问配置
参考链接:
https://support.sonatype.com/hc/en-us/articles/29416509323923-CVE-2024-4956-Nexus-Repository-3-Path-Traversal-2024-05-16
https://support.sonatype.com/hc/en-us/articles/29412417068819-Mitigations-for-CVE-2024-4956-Nexus-Repository-3-Vulnerability
原文始发于微信公众号(飓风网络安全):【漏洞预警】Sonatype Nexus Repository 3<3.68.1 任意文件下载漏洞CVE-2024-4956
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论