Nexus Repository Manager 远程代码执行漏洞风险通告,腾讯云镜可以检测

2020-08-03 15:53:03
Sonatype Security Team官方发布了一则关于Nexus Repository Manager 3.x产品的远程代码执行漏洞通告。具有适当权限的攻击者可利用该漏洞运行任意代码。腾讯安全专家建议相关企业尽快修复漏洞,腾讯T-Sec主机安全(腾讯云镜)已支持检测该漏洞风险。

【漏洞描述】

Sonatype Security Team官方发布了一则关于Nexus Repository Manager 3.x产品的远程代码执行漏洞通告。 

Sonatype Nexus Repository Manager 3 OSS / Pro 3.25.1之前的版本存在远程代码执行漏洞,具有适当权限的攻击者可利用该漏洞运行任意代码。腾讯安全专家建议相关企业尽快修复漏洞,腾讯T-Sec主机安全(腾讯云镜)已支持检测该漏洞风险。 

Sonatype Nexus Repository ManagerNXRM)是美国Sonatype公司的一个存储库管理器,它主要用于管理,存储和分发软件等。 

【漏洞编号】CVE-2020-15871 

【漏洞等级】严重 

【影响版本】

Nexus Repository Manager 3 OSS < 3.25.1

Nexus Repository Manager 3 Pro < 3.25.1 

【安全版本】

Nexus Repository Manager OSS/Pro >= 3.25.1 

【网络空间测绘】

腾讯安全网络空间测绘数据显示,该组件在中国有十分广泛的应用,浙江、广东、北京位居前三。


【修复建议】

目前官方已发布漏洞修复版本。

下载地址:

https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29

腾讯安全专家建议修复漏洞前做好备份及测试工作,以防意外发生。 

【腾讯安全解决方案】

腾讯T-Sec主机安全(云镜)产品已支持检测云主机系统是否受CVE-2020-15871漏洞的影响。

腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 

【参考链接】

https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29




 附:Sonatype官方同时发布了Sonatype Nexus Repository Manager的两个XSS漏洞通告,并在3.25.1中修复。 

Sonatype Nexus Repository Manager 跨站脚本漏洞(漏洞编号:CVE-2020-15869/CVE-2020-15870 

Sonatype NXRM 3.25.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证,攻击者可利用该漏洞执行客户端代码。

 

参考链接:

https://support.sonatype.com/hc/zh-CN/articles/360051424554

https://support.sonatype.com/hc/en-us/articles/360051424754

最新资讯