CVE-2020-10199| Nexus Repository Manager远程代码执行漏洞通告
发布时间 2020-04-020x00 漏洞概述
CVE ID
CVE-2020-10199
时 间
2020-04-02
类 型
远程代码执行
等 级
高危
远程利用
是
影响范围
Nexus Repository Manager OSS/Pro 3.x
<= 3.21.1
0x01 漏洞详情
Sonatype Nexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。
在 Nexus Repository Manager OSS/Pro 3.21.1 及之前的版本中,经过授权认证的攻击者,可以通过 JavaEL 表达式注入造成远程代码执行,获取系统权限。
0x02 处置建议
更新 Nexus Repository Manager 到3.21.2或更高版本:
https://help.sonatype.com/repomanager3/download/
0x03 相关新闻
https://support.sonatype.com/hc/en-us/articles/360044882533
0x04 参考链接
https://nvd.nist.gov/vuln/detail/CVE-2020-10199
0x05 时间线
2020-03-31 Sonatype官方发布漏洞通告
2020-04-01 CVE 发布该漏洞
京公网安备11010802024551号