1
漏洞描述
Sonatype Security Team官方发布了一则关于Nexus Repository Manager 3.x产品的远程代码执行漏洞通告。
Sonatype Nexus Repository Manager 3 OSS / Pro 3.25.1之前的版本存在远程代码执行漏洞,具有适当权限的攻击者可利用该漏洞运行任意代码。腾讯安全专家建议相关企业尽快修复漏洞,腾讯T-Sec主机安全(腾讯云镜)已支持检测该漏洞风险。
Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一个存储库管理器,它主要用于管理,存储和分发软件等。
2
漏洞编号
CVE-2020-15871
3漏洞等级
严重
4
受影响的版本
Nexus Repository Manager 3 OSS < 3.25.1
Nexus Repository Manager 3 Pro < 3.25.1
5
安全版本
Nexus Repository Manager OSS/Pro >= 3.25.1
6
腾讯安全网络空间测绘结果
腾讯安全网络空间测绘数据显示,该组件在中国有十分广泛的应用,浙江、广东、北京位居前三。
7
漏洞修复方案
目前官方已发布漏洞修复版本。
下载地址:https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29
腾讯安全专家建议修复漏洞前做好备份及测试工作,以防意外发生。
8
腾讯安全解决方案
腾讯T-Sec主机安全(云镜)产品已支持检测云主机系统是否受CVE-2020-15871漏洞的影响。
腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息,可长按识别以下二维码查阅。
参考链接
https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29
附:
Sonatype官方同时发布了Sonatype Nexus Repository Manager的两个XSS漏洞通告,并在3.25.1中修复。
Sonatype Nexus Repository Manager 跨站脚本漏洞(CVE-2020-15869/CVE-2020-15870)
Sonatype NXRM 3.25.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证,攻击者可利用该漏洞执行客户端代码。
参考链接:
https://support.sonatype.com/hc/zh-CN/articles/360051424554
https://support.sonatype.com/hc/en-us/articles/360051424754
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论