-
-
[原创]Nexus Repository Manager 远程代码执行漏洞风险通告,腾讯云镜可以检测
-
发表于: 2020-8-4 11:13
-
【漏洞描述】
Sonatype Security Team官方发布了一则关于Nexus Repository Manager 3.x产品的远程代码执行漏洞通告。
Sonatype Nexus Repository Manager 3 OSS / Pro 3.25.1之前的版本存在远程代码执行漏洞,具有适当权限的攻击者可利用该漏洞运行任意代码。腾讯安全专家建议相关企业尽快修复漏洞,腾讯T-Sec主机安全(腾讯云镜)已支持检测该漏洞风险。
Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一个存储库管理器,它主要用于管理,存储和分发软件等。
【漏洞编号】CVE-2020-15871
【漏洞等级】严重
【影响版本】
Nexus Repository Manager 3 OSS < 3.25.1
Nexus Repository Manager 3 Pro < 3.25.1
【安全版本】
Nexus Repository Manager OSS/Pro >= 3.25.1
【网络空间测绘】
腾讯安全网络空间测绘数据显示,该组件在中国有十分广泛的应用,浙江、广东、北京位居前三。
【修复建议】
目前官方已发布漏洞修复版本。
下载地址:
e62K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0W2M7$3!0F1j5i4c8&6M7r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5#2)9J5c8X3g2F1i4K6u0V1N6i4y4Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8U0x3$3x3o6l9#2x3U0p5&6x3U0j5&6x3#2)9J5k6p5y4h3c8g2)9J5k6o6t1H3x3U0m8Q4x3X3b7I4y4e0R3%4x3g2)9J5k6p5&6W2P5s2g2K6i4K6u0V1f1X3g2H3L8%4y4A6N6r3!0J5P5g2)9J5k6p5#2S2L8X3q4Y4k6i4u0Q4x3X3b7K6i4K6u0V1f1X3g2E0L8%4c8W2i4K6u0V1b7$3!0V1k6g2)9J5k6p5g2^5k6h3y4#2N6r3W2G2L8W2)9J5k6o6t1H3x3U0m8Q4x3X3b7H3y4#2)9J5k6o6t1&6
腾讯安全专家建议修复漏洞前做好备份及测试工作,以防意外发生。
【腾讯安全解决方案】
腾讯T-Sec主机安全(云镜)产品已支持检测云主机系统是否受CVE-2020-15871漏洞的影响。
腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息,可参考:9bbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0L8r3!0#2k6q4)9J5k6i4c8W2L8X3y4W2L8Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6H3M7X3!0V1N6h3y4@1i4K6u0r3j5%4N6H3
【参考链接】
67dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0W2M7$3!0F1j5i4c8&6M7r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5#2)9J5c8X3g2F1i4K6u0V1N6i4y4Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8U0x3$3x3o6l9#2x3U0p5&6x3U0j5&6x3#2)9J5k6p5y4h3c8g2)9J5k6o6t1H3x3U0m8Q4x3X3b7I4y4e0R3%4x3g2)9J5k6p5&6W2P5s2g2K6i4K6u0V1f1X3g2H3L8%4y4A6N6r3!0J5P5g2)9J5k6p5#2S2L8X3q4Y4k6i4u0Q4x3X3b7K6i4K6u0V1f1X3g2E0L8%4c8W2i4K6u0V1b7$3!0V1k6g2)9J5k6p5g2^5k6h3y4#2N6r3W2G2L8W2)9J5k6o6t1H3x3U0m8Q4x3X3b7H3y4#2)9J5k6o6t1&6
附:Sonatype官方同时发布了Sonatype Nexus Repository Manager的两个XSS漏洞通告,并在3.25.1中修复。
Sonatype Nexus Repository Manager 跨站脚本漏洞(CVE-2020-15869/CVE-2020-15870)
Sonatype NXRM 3.25.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证,攻击者可利用该漏洞执行客户端代码。
参考链接:
77fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0W2M7$3!0F1j5i4c8&6M7r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5#2)9J5c8Y4A6Z5i4K6u0V1b7@1&6Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8U0x3$3x3o6l9#2x3e0b7J5y4o6f1#2y4l9`.`.
b37K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0W2M7$3!0F1j5i4c8&6M7r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5#2)9J5c8X3g2F1i4K6u0V1N6i4y4Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8U0x3$3x3o6l9#2x3e0b7J5y4o6M7#2y4l9`.`.
|
|
|---|---|
