【安全通告】Sonatype Nexus Repository Manager 3远程代码执行漏洞通告(CVE-2020-10199/CVE-2020-10204)
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全运营中心 监测到 Sonatype 官方发布安全公告,披露了 3 个安全漏洞(漏洞编号:CVE-2020-10199,CVE-2020-10204,CVE-2020-10203),攻击者可利用漏洞进行远程代码执行和XSS攻击。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
经分析,此次官方一共披露了3个漏洞,分别为2个远程代码执行漏洞和1个XSS漏洞:
CVE-2020-10199:该漏洞允许拥有NXRM上任何类型帐户的攻击者通过向NXRM发出恶意请求来执行任意代码。
CVE-2020-10204:该漏洞使拥有NXRM管理帐户的攻击者可以通过向NXRM发送恶意请求来执行任意代码。
CVE-2020-10203:具有较高特权的攻击者可以创建具有特制属性的实体,当其他用户查看它们时,可以在NXRM应用程序的上下文中执行任意JavaScript 。
【风险等级】
CVE-2020-10199:高风险
CVE-2020-10204:中风险
CVE-2020-10203:中风险
【漏洞风险】
远程代码执行等
【影响版本】
Nexus Repository Manager 3.x OSS / Pro最高版本(包括3.21.1)
【修复版本】
Nexus Repository Manager OSS/Pro 3.21.2 版本
【修复建议】
官方已发布新版本修复漏洞,腾讯云安全团队建议您 更新到 Nexus Repository Manager OSS/Pro 3.21.2 或更高版本
【漏洞参考】