CVE-2020-15871 | Nexus Repository Manager远程代码执行漏洞通告

发布时间 2020-08-04

0x00 漏洞概述


CVE   ID

CVE-2020-15871

   

2020-08-04

  

RCE

   

严重

远程利用

影响范围

Nexus Repository Manager 3 OSS / Pro <= 3.25.0


0x01 漏洞详情



2020年7月29日,Sonatype发布安全公告,修复了一个Nexus Repository Manager 3 远程代码执行漏洞(CVE-2020-15871)。根据Sonatype官网的描述有适当权限的攻击者可利用该漏洞执行任意代码。

Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器,它主要用于仓库管理和搜索等功能。

根据目前FOFA系统最新统计数据,显示全球范围内(app="Nexus-Repository-Manager")共有27865个相关服务对外开放。中国使用数量最多共有13841个,美国第二共有5293个,德国第三共有2162个。



0x02 处置建议


目前厂商已发布新版本3.25.1,下载链接:

https://help.sonatype.com/repomanager3/download

有关升级的详细信息,参考以下链接:

https://support.sonatype.com/hc/zh-CN/articles/115000350007


0x03 相关新闻


https://www.security-database.com/detail.php?alert=CVE-2020-15871


0x04 参考链接


https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29


0x05 时间线


2020-07-29 Sonatype发布安全公告

2020-08-04 VSRC发布漏洞通告