CVE-2020-15012 | Nexus Repository Manager 2目录遍历漏洞通告
发布时间 2020-10-090x00 漏洞概述
CVE ID | CVE-2020-15012 | 时 间 | 2020-10-09 |
类 型 | 目录遍历 | 等 级 | 高危 |
远程利用 | 影响范围 | Nexus Repository Manager 2 <=2.14.18 |
Nexus Repository是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。它是搭建maven的镜像的工具之一,在全球范围内使用广泛。
0x01 漏洞详情
2020年10月08日,Sonatype发布安全公告,Nexus Repository Manager 2中存在一个目录遍历漏洞,漏洞跟踪为CVE-2020-15012。成功利用此漏洞的攻击者能够执行目录遍历以读取敏感数据文件,并对用户公开任意文件。但要利用此漏洞,攻击者必须具有对Nexus Repository Manager instance的网络访问权限,才能查看配置文件或受保护的内容。
0x02 处置建议
目前官方已发布安全更新,建议将Nexus Repository Manager 2升级到2.14.19最新版本:
下载链接:
https://help.sonatype.com/repomanager2/download
0x03 参考链接
https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15012
0x04 时间线
2020-10-08 Sonatype发布安全公告
2020-10-09 VSRC发布安全通告
京公网安备11010802024551号