CVE-2020-15871 | Nexus Repository Manager远程代码执行漏洞通告
发布时间 2020-08-040x00 漏洞概述
|
CVE ID |
CVE-2020-15871 |
时 间 |
2020-08-04 |
|
类 型 |
RCE |
等 级 |
严重 |
|
远程利用 |
是 |
影响范围 |
Nexus Repository Manager 3 OSS / Pro <= 3.25.0 |
0x01 漏洞详情
2020年7月29日,Sonatype发布安全公告,修复了一个Nexus Repository Manager 3 远程代码执行漏洞(CVE-2020-15871)。根据Sonatype官网的描述有适当权限的攻击者可利用该漏洞执行任意代码。
Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器,它主要用于仓库管理和搜索等功能。
根据目前FOFA系统最新统计数据,显示全球范围内(app="Nexus-Repository-Manager")共有27865个相关服务对外开放。中国使用数量最多共有13841个,美国第二共有5293个,德国第三共有2162个。
0x02 处置建议
目前厂商已发布新版本3.25.1,下载链接:
https://help.sonatype.com/repomanager3/download
有关升级的详细信息,参考以下链接:
https://support.sonatype.com/hc/zh-CN/articles/115000350007
0x03 相关新闻
https://www.security-database.com/detail.php?alert=CVE-2020-15871
0x04 参考链接
https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29
0x05 时间线
2020-07-29 Sonatype发布安全公告
2020-08-04 VSRC发布漏洞通告
京公网安备11010802024551号