本文详细介绍了Nexus Repository Manager 2中存在的目录遍历漏洞CVE-2020-15012,该漏洞可能导致攻击者读取敏感数据。建议用户升级到2.14.19最新版本以修复问题。官方已发布安全更新和下载链接。
0x00 漏洞概述
CVE ID | CVE-2020-15012 | 时 间 | 2020-10-09 |
类 型 | 目录遍历 | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | Nexus Repository Manager 2 <=2.14.18 |
Nexus Repository是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。它是搭建maven的镜像的工具之一,在全球范围内使用广泛。
0x01 漏洞详情
2020年10月08日,Sonatype发布安全公告,NexusRepository Manager 2中存在一个目录遍历漏洞,漏洞跟踪为CVE-2020-15012。成功利用此漏洞的攻击者能够执行目录遍历以读取敏感数据文件,并对用户公开任意文件。但要利用此漏洞,攻击者必须具有对Nexus Repository Manager instance的网络访问权限,才能查看配置文件或受保护的内容。
0x02 处置建议
目前官方已发布安全更新,建议将Nexus Repository Manager 2升级到2.14.19最新版本:
下载链接:
https://help.sonatype.com/repomanager2/download
0x03 参考链接
https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15012
0x04 时间线
2020-10-08 Sonatype发布安全公告
2020-10-09 VSRC发布安全通告
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
