CVE-2020-15012| Nexus Repository Manager 目录遍历漏洞风险通告

2020-10-09 16:08:13
漏洞可能允许攻击者执行目录遍历以读取服务器的敏感数据文件,腾讯安全专家建议受影响的用户尽快升级到安全版本。

漏洞描述:

漏洞可能允许攻击者执行目录遍历以读取服务器的敏感数据文件,腾讯安全专家建议受影响的用户尽快升级到安全版本。

 

Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。

 

漏洞等级:高危

 

漏洞编号:CVE-2020-15012,漏洞评分8

 

漏洞详情:

在 Nexus Repository Manager中发现了一个安全漏洞 (CVE-2020-15012),需要立即采取行动。该漏洞允许目录遍历,向用户公开任意文件。此通报提供了解决此漏洞所需的相关信息。

 

此漏洞由外部研究人员识别,并已被Sonatype官方安全团队验证。目前不知道有无野外利用,但是,建议 Nexus Repository Manager的所有用户立即修复该漏洞。

 

受影响的版本:

nexus repository manager <= 2.14.18

 

安全版本:

nexus repository manager 2.14.19

 

漏洞修复:

腾讯安全专家建议受影响的用户尽快升级到已修复的安全版本,最新版本的Nexus Repository Manager 2 可从以下位置下载:

https://help.sonatype.com/repomanager2/download

 

有关升级的详细信息,请参阅:

https://help.sonatype.com/repomanager2/installing-and-running/upgrading

 

参考链接:

https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08

 

最新资讯