2020年12月16日,Sonatype官方发布了 Nexus Repository Manager 3命令注入漏洞风险通告,在Nexus Repository Manager中发现了XML外部实体(XXE)注入漏洞。
1
漏洞详情
CVE-2020-29436: XML外部实体注入漏洞
在 Nexus Repository Manager 3中存在XML外部实体注入( XXE )漏洞。该漏洞使具有NXRM中管理帐户的攻击者能够以一种方式配置系统,使他们可以查看文件系统上的文件,并与NXRM可以访问的任何后端或外部系统进行交互。攻击者必须在Repository Manager实例中具有管理级别的用户帐户才能以这种方式配置系统。
Nexus Repository是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。
2漏洞编号
CVE-2020-29436
3
漏洞等级
高危
4
受影响的版本
Nexus Repository Manager 3 <= 3.28.1
5
安全版本
Nexus Repository Manager 3.29.0-02
6
腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,Nexus Repository Manager全球应用广泛,在应用地理分布上,中国占据64.07%,远远超过其他国家,其次是美国、德国、法国。中国大陆地区,浙江、广东、北京位居前3。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系es@tencent.com了解产品详情。
7
漏洞修复建议
腾讯安全专家建议受影响的用户升级到安全版本。
下载地址:
https://help.sonatype.com/repomanager3/download
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
参考链接:
https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15
招聘广告
腾讯安全研究团队欢迎渗透测试安全圈内同行加盟,有以下经历者优先:挖掘到的漏洞对安全圈产生重大影响力;参与国内外知名安全比赛,排名靠前;在高级别红蓝对抗演练中对所在攻击队拿分有突出贡献。有意请投简历到huntchen@tencent.com,诚邀加盟!
更多岗位信息,请点击这里查阅!