漏洞名称 : Sonatype Nexus Repository Manager外部实体注入漏洞CVE-2020-29436
威胁等级 : 高危
影响范围 : Nexus Repository Manager 3 <= 3.28.1
漏洞类型 : XML外部实体注入
利用难度 : 简单
漏洞分析
1 Nexus Repository Manger 介绍
Nexus 一个是Maven仓库管理器,通常使用Maven,是从Maven中央仓库下载所需要的构件(artifact),但这不是一个好的做法,更好的做法是在本地架设一个Maven仓库服务器,在代理远程仓库的同时维护本地仓库,以节省带宽和时间,Nexus就可以满足这样的需要。此外,他还提供了强大的仓库管理功能,构件搜索功能,它基于REST,占用较少的内存,基于简单文件系统而非数据库。这些优点使其日趋成为最流行的Maven仓库管理器。
2 漏洞描述
2020年12月15日,Sonatype 官方发布了Nexus Repository Manager中一个外部实体注入漏洞的风险通告,该漏洞使得具有Nexus Repository