【漏洞概述】
Sonatype官方发布安全公告,披露了3个安全漏洞(漏洞编号:CVE-2020-10199,CVE-2020-10204,CVE-2020-10203),攻击者可利用漏洞进行远程代码执行和XSS攻击。
【漏洞详情】
腾讯安全威胁情报中心分析,此次官方一共披露了3个漏洞,分别为2个远程代码执行漏洞和1个XSS漏洞:
CVE-2020-10199:该漏洞允许拥有NXRM上任何类型帐户的攻击者通过向NXRM发出恶意请求来执行任意代码。
CVE-2020-10204:该漏洞使拥有NXRM管理帐户的攻击者可以通过向NXRM发送恶意请求来执行任意代码。
CVE-2020-10203:具有较高特权的攻击者可以创建具有特制属性的实体,当其他用户查看它们时,可以在NXRM应用程序的上下文中执行任意JavaScript 。
【风险等级】
CVE-2020-10199:高风险
CVE-2020-10204:中风险
CVE-2020-10203:中风险
【漏洞风险】
远程代码执行等
【影响版本】
Nexus Repository Manager 3.x OSS / Pro最高版本(包括3.21.1)
【修复版本】
Nexus Repository Manager OSS/Pro 3.21.2 版本
【修复建议】
官方已发布新版本修复漏洞,腾讯安全团队建议您更新到Nexus Repository Manager OSS/Pro 3.21.2 或更高版本。
【参考链接】
官方更新通告:
https://support.sonatype.com/hc/en-us/sections/203012668-Security-Advisories