Nexus Repository Manger 权限验证绕过漏洞

地球胖头鱼 2020-10-16
系统与内网安全 发布于 2020-10-16 16:30:23 阅读 46 评论 0

Nexus Repository Manger权限验证绕过漏洞

发现时间2020-10-16

基本信息

  • 风险等级: 高危
  • 漏洞类型: 权限绕过漏洞
  • 漏洞利用: 暂无 , 提交POC
  • 漏洞编号: 暂无

漏洞描述

近日,监测到sonatype官方发布了Nexus Repository Manger 2 & 3验证绕过漏洞的风险通告。未经身份验证的用户可以提交特制的HTTP请求,这可能会导致身份验证绕过。

【受影响产品】

  • sonatype:Nexus Repository Manger 2 < 2.14.19

  • sonatype:Nexus Repository Manger 3 < 3.27.0

Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一款存储库管理器,它主要用于管理、存储和分发软件等。

影响范围

sonatype:Nexus Repository Manger 2 < 2.14.19、sonatype:Nexus Repository Manger 3 < 3.27.0

利用条件

截止到今天下午还暂时无人发现利用条件

解决方案

修复建议

将 Nexus Repository Manager 3 升级到 3.27.0 或更高版本,并将 Nexus Repository Manager 2 升级到 2.14.19 或更高版本。

Nexus Repository Manager 2下载 :https://help.sonatype.com/repomanager2/download
Nexus Repository Manager 3下载 :https://help.sonatype.com/repomanager3/download

临时修复建议

如果目前无法升级,若业务环境允许,使用白名单限制访问来降低风险。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章72
  • 作者收获粉丝1
  • 作者收到点赞0
  • 所有文章被收藏了0
  • 博客总访问量排行第6
  • 博客总访问量4376(每日更新)
查看所有博文