1
漏洞描述
在apache-shiro中发现CVE-2020-13933,影响了Nexus Repository Manager 2和3。未经身份验证的用户可以提交特制的HTTP请求,这可能会导致身份验证绕过。
Apache Shiro是美国Apache软件基金会的一套用于执行身份验证、授权、密码和会话管理的Java安全框架。
2
漏洞编号
CVE-2020-13933
3漏洞等级
高危
4
受影响的版本
Nexus Repository Manager 2 <= 2.14.18
Nexus Repository Manager 3 <= 3.26.1
5
安全版本
Nexus Repository Manager 2 >= 2.14.19
Nexus Repository Manager 3 >=3.27.0
腾讯安全专家建议受影响的用户尽快升级到安全版本。
6
腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,Nexus Repository Manager组件在全球有广泛的应用,中国、美国、德国分别位居前三位(占比70%)。国内主要分布在浙江、广东、北京、上海等省市(占比超过70%)。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系es@tencent.com 了解产品详情。
7
漏洞修复
建议受影响的用户将Nexus Repository Manager 3的所有实例升级到 3.27.0或更高版本,将Nexus Repository Manager 2的所有实例升级到2.14.19或更高版本。
可以从以下位置下载最新版本:
Nexus Repository Manager 2下载
https://help.sonatype.com/repomanager2/download
Nexus Repository Manager 3下载
https://help.sonatype.com/repomanager3/download
8
腾讯安全解决方案
腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-16之后的版本,已支持对Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞(漏洞编号:CVE-2020-13933)进行检测。
关于腾讯T-Sec主机安全(云镜)的更多信息,可长按识别以下二维码查阅。
参考链接
https://support.sonatype.com/hc/en-us/articles/360053556313-CVE-2020-13933-Nexus-Repository-Manger-2-3-Shiro-Authentication-Bypass
插播一条招聘广告(长期)
腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到huntchen@tencent.com,诚邀加盟!