Nexus Repository Manager(CVE-2020-10199/10204)远程代码执行漏洞安全通告
1. 漏洞类型:
TAG: |
Nexus Repository Manager、远程代码执行 |
危害等级: |
高 |
应急等级: |
黄色 |
2. 漏洞影响:
近日,sonatype官网披露了旗下产品Nexus Repository Manager3.X版本存在的CVE-2020-10204与CVE-2020-10199两个JavaEL表达式注入远程执行代码执行漏洞,这一系列漏洞只需要一个低权限有效账户即可利用。
Nexus Repository是一个开源的仓库管理系统,可搭建npm、maven等私服,Nexus Repository Manager 3.x 的远程代码执行漏洞,在通过认证的情况下,攻击者可以通过JavaEL表达式注入造成远程代码执行,获取服务器权限,再通过流量代理访问内网,攻击域控等关键信息设施。
3. 受影响版本:
- Nexus Repository Manager OSS/Pro: <=3.21.1
4. 检测方法:
我中心已具备Nexus Repository Manager漏洞自动检测工具,如有需要请联系负责人邓先生(手机:13825014512)获取。
5. 解决措施: