Nexus Repository Manager 3 远程代码执行漏洞安全通告
发布时间 2019-02-14漏洞编号和级别
CVE编号:CVE-2019-7238,危险级别:高危, CVSS分值:官方未评定
影响范围
受影响版本:
Nexus Repository Manager OSS/Pro 3.x < 3.15
漏洞概述
2019年2月5日,Sonatype 官方发布安全通告,修复了存在于 Nexus Repository Manager 3中的一个远程代码执行漏洞。
Sonatype Nexus是一个Maven的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建Maven仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。
在Nexus Repository Manager OSS/Pro 3.15之前的版本中,由于某处功能缺乏访问控制,且未能正确处理用户传入的数据,导致远程且未经授权认证的攻击者,仅通过一个恶意的 HTTP请求,就可以在服务端执行任意Java代码,获取系统权限:
目前官方已经通过添加访问控制措施和禁用服务器上特定路径的Java代码执行能力来缓解该漏洞。
修复建议
目前官方已经发布新版本修改了该漏洞,请升级 Nexus Repository Manager OSS/Pro 3 到 3.15 版本。下载链接:https://help.sonatype.com/repomanager3/download。
参考链接
https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019
京公网安备11010802024551号