Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞风险通告,腾讯云镜支持检测

2020-10-16 10:51:29
未经身份验证的用户可以提交特制的HTTP请求,这可能会导致身份验证绕过。

漏洞概述:

已在Apache Shiro中发现CVE-2020-13933,影响了Nexus Repository Manager 2和3。

 

未经身份验证的用户可以提交特制的HTTP请求,这可能会导致身份验证绕过。


Apache Shiro是美国Apache软件基金会的一套用于执行身份验证、授权、密码和会话管理的Java安全框架。


漏洞编号:CVE-2020-13933

 

漏洞等级:

 

受影响的版本:

Nexus Repository Manager 2 <= 2.14.18

Nexus Repository Manager 3 <= 3.26.1

 

安全版本:

Nexus Repository Manager 2 >= 2.14.19

Nexus Repository Manager 3 >=3.27.0


腾讯安全网络空间测绘:

腾讯安全网络空间测绘结果显示,Nexus Repository Manager组件在全球有广泛的应用,中国、美国、德国分别位居前三位(占比70%)。国内主要分布在浙江、广东、北京、上海等省市(占比超过70%)。

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。


漏洞修复:

建议受影响的用户将Nexus Repository Manager 3的所有实例升级到 3.27.0或更高版本,将Nexus Repository Manager 2的所有实例升级到2.14.19或更高版本。

 

可以从以下位置下载最新版本:

Nexus Repository Manager 2下载

https://help.sonatype.com/repomanager2/download

 

Nexus Repository Manager 3下载

https://help.sonatype.com/repomanager3/download


腾讯安全解决方案:

腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-16之后的版本,已支持对Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞(漏洞编号:CVE-2020-13933)进行检测。

 

关于腾讯T-Sec主机安全(云镜)的更多信息,可参考:https://cloud.tencent.com/product/cwp


参考链接:

https://support.sonatype.com/hc/en-us/articles/360053556313-CVE-2020-13933-Nexus-Repository-Manger-2-3-Shiro-Authentication-Bypass

最新资讯