Nexus Repository Manager 远程代码执行漏洞风险通告,腾讯云镜支持检测

admin 2020年8月3日15:57:37评论330 views字数 1273阅读4分14秒阅读模式


1

漏洞描述


Sonatype Security Team官方发布了一则关于Nexus Repository Manager 3.x产品的远程代码执行漏洞通告。

Sonatype Nexus Repository Manager 3 OSS / Pro 3.25.1之前的版本存在远程代码执行漏洞,具有适当权限的攻击者可利用该漏洞运行任意代码。腾讯安全专家建议相关企业尽快修复漏洞,腾讯T-Sec主机安全(腾讯云镜)已支持检测该漏洞风险。

Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一个存储库管理器,它主要用于管理,存储和分发软件等。


2

漏洞编号


CVE-2020-15871


3漏洞等级


严重

4

受影响的版本


Nexus Repository Manager 3 OSS < 3.25.1

Nexus Repository Manager 3 Pro < 3.25.1


5

安全版本


Nexus Repository Manager OSS/Pro >= 3.25.1


6

腾讯安全网络空间测绘结果


腾讯安全网络空间测绘数据显示,该组件在中国有十分广泛的应用,浙江、广东、北京位居前三。

Nexus Repository Manager 远程代码执行漏洞风险通告,腾讯云镜支持检测


7

漏洞修复方案


目前官方已发布漏洞修复版本。

下载地址:https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29

 

腾讯安全专家建议修复漏洞前做好备份及测试工作,以防意外发生。


8

腾讯安全解决方案


腾讯T-Sec主机安全(云镜)产品已支持检测云主机系统是否受CVE-2020-15871漏洞的影响。

Nexus Repository Manager 远程代码执行漏洞风险通告,腾讯云镜支持检测


腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息,可长按识别以下二维码查阅。

Nexus Repository Manager 远程代码执行漏洞风险通告,腾讯云镜支持检测

参考链接

https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29



附:

Sonatype官方同时发布了Sonatype Nexus Repository Manager的两个XSS漏洞通告,并在3.25.1中修复。

 

Sonatype Nexus Repository Manager 跨站脚本漏洞(CVE-2020-15869/CVE-2020-15870)

 

Sonatype NXRM 3.25.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证,攻击者可利用该漏洞执行客户端代码。


参考链接:

https://support.sonatype.com/hc/zh-CN/articles/360051424554

https://support.sonatype.com/hc/en-us/articles/360051424754

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月3日15:57:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Nexus Repository Manager 远程代码执行漏洞风险通告,腾讯云镜支持检测https://cn-sec.com/archives/80601.html

发表评论

匿名网友 填写信息