CVE-2020-10199| Nexus Repository Manager远程代码执行漏洞

2020-4-2 17:27| 发布者: wjd| 查看: 2142| 评论: 0|原作者: 启明星辰|来自: 启明星辰

摘要: 0x00 漏洞概述CVEIDCVE-2020-10199时间2020-04-02类型远程代码执行等级高危远程利用是影响范围Nexus Repository Manager OSS/Pro 3.x = 3.21.10x01 漏洞详情Sonatype Nexus 是一个 Maven 的仓库管理系统，它提供了强 ...

0x00 漏洞概述

CVE ID	CVE-2020-10199	时间	2020-04-02
类型	远程代码执行	等级	高危
远程利用	是	影响范围	Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

0x01 漏洞详情

Sonatype Nexus 是一个 Maven 的仓库管理系统，它提供了强大的仓库管理、构件搜索等功能，并且可以用来搭建 Maven 仓库私服，在代理远程仓库的同时维护本地仓库，以节省带宽和时间。

在 Nexus Repository Manager OSS/Pro 3.21.1 及之前的版本中，经过授权认证的攻击者，可以通过 JavaEL 表达式注入造成远程代码执行，获取系统权限。

0x02 处置建议

更新 Nexus Repository Manager 到3.21.2或更高版本：

https://help.sonatype.com/repomanager3/download/

0x03 相关新闻

https://support.sonatype.com/hc/en-us/articles/360044882533

0x04 参考链接

https://nvd.nist.gov/vuln/detail/CVE-2020-10199

0x05 时间线

2020-03-31 Sonatype官方发布漏洞通告

2020-04-01 CVE 发布该漏洞

收藏分享邀请

上一篇：Apache Tomcat AJP协议高危漏洞风险提示下一篇：WordPress WPvivid Backup插件漏洞风险通告

最新资讯

中国红客联盟网络安全预警响应中心成立

中国红客联盟网络安全预警响应中心正式启动我们将模拟黑客的思维和方式发现您的系统漏洞及安全隐患 [详细]

红客联盟2018绝地求生-游戏外挂分析大

（点击图片查看原图）主题：绝地求生-游戏外挂分析时间：2018.3.22日（周四）晚7点-晚10点 [详细]

红盟手机客户端现已更新，请下载最新版

红客联盟手机版客户端目前安卓版本已经完成制作，ios版本正在验证中。安卓用户新版手机客户端下载 [详细]