|
【漏洞描述】 Sonatype Security Team官方发布了一则关于Nexus Repository Manager 3.x产品的远程代码执行漏洞通告。 Sonatype Nexus Repository Manager 3 OSS / Pro 3.25.1之前的版本存在远程代码执行漏洞,具有适当权限的攻击者可利用该漏洞运行任意代码。腾讯安全专家建议相关企业尽快修复漏洞,腾讯T-Sec主机安全(腾讯云镜)已支持检测该漏洞风险。 Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一个存储库管理器,它主要用于管理,存储和分发软件等。 【漏洞编号】CVE-2020-15871 【漏洞等级】严重 【影响版本】 Nexus Repository Manager 3 OSS < 3.25.1 Nexus Repository Manager 3 Pro < 3.25.1 【安全版本】 Nexus Repository Manager OSS/Pro >= 3.25.1 【网络空间测绘】 腾讯安全网络空间测绘数据显示,该组件在中国有十分广泛的应用,浙江、广东、北京位居前三。
【修复建议】 目前官方已发布漏洞修复版本。 下载地址: 腾讯安全专家建议修复漏洞前做好备份及测试工作,以防意外发生。 【腾讯安全解决方案】 腾讯T-Sec主机安全(云镜)产品已支持检测云主机系统是否受CVE-2020-15871漏洞的影响。
【参考链接】 附:Sonatype官方同时发布了Sonatype Nexus Repository Manager的两个XSS漏洞通告,并在3.25.1中修复。 Sonatype Nexus Repository Manager 跨站脚本漏洞(CVE-2020-15869/CVE-2020-15870) Sonatype NXRM 3.25.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证,攻击者可利用该漏洞执行客户端代码。 参考链接:
| 
发表于 2020-8-4 11:18:31
