漏洞情报 | Nexus Repository 3 跨站脚本漏洞

0x01 漏洞描述

Sonatype Nexus Repository是美国Sonatype公司的一款仓库管理器，它主要用于管理、存储和分发软件等。

360漏洞云监测到Nexus Repository 3 存在跨站脚本漏洞（CVE-2021-37152）。经身份认证的、能够添加HTML文件到仓库的攻击者可重定向用户到代码改动过的Nexus Repository页面，从而执行任意JavaScript代码。

0x02 危害等级

中危：6.8

0x03 影响版本

Nexus Repository <=3.32.0

0x04 修复版本

Nexus Repository OSS/Pro 3.33.0

0x05 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本。