漏洞背景
近日,嘉诚安全监测到Sonatype Nexus Repository3中修复了一个路径遍历漏洞,漏洞编号为:CVE-2024-4956。
Sonatype Nexus Repository 3(通常简称为Nexus3)是一个由Sonatype开发的仓库管理工具,用于管理和托管各种软件构件(如Maven构件、Docker镜像等),提供了一种集中化的方式来存储、管理和分发软件构件,以帮助团队协作和构建自动化。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞,且PoC/EXP已公开。未经身份验证的攻击者可构造恶意URL下载目标系统上的任意文件,包括Nexus Repository应用程序范围之外的系统文件,成功利用该漏洞可能导致应用程序源代码、配置和关键系统文件等敏感信息泄露。
危害影响
影响范围:
Sonatype Nexus Repository 3.x OSS/Pro 版本 < 3.68.1
处置建议
目前该漏洞已经修复,受影响的Sonatype Nexus Repository 3实例用户可升级到Sonatype Nexus Repository OSS/Pro 3.68.1或更高版本。
下载链接:
https://help.sonatype.com/en/download.html
参考链接:
https://help.sonatype.com/en/sonatype-nexus-repository-3-68-0-release-notes.html
https://support.sonatype.com/hc/en-us/articles/29412417068819-Mitigations-for-CVE-2024-4956-Nexus-Repository-3-Vulnerability
https://security.snyk.io/vuln/SNYK-JAVA-ORGSONATYPENEXUS-6861919
原文始发于微信公众号(嘉诚安全):【漏洞通告】Sonatype Nexus Repository3路径遍历漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论