0x01 漏洞背景
2020年04月02日, 360CERT监测发现 Sonatype Security Team 官方发布了一则关于 Nexus Repository Manager 3.x 的远程代码执行漏洞通告。在通过认证的情况下,攻击者可以通过JavaEL表达式注入造成远程代码执行。
Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。
0x02 风险等级
360CERT对该漏洞进行评定
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 一般 |
360CERT建议广大用户及时更新 Nexus Repository Manager 版本。做好资产 自查/自检/预防 工作,以免遭受攻击。
0x03 影响版本
Nexus Repository Manager OSS/Pro: <=3.21.1
0x04 修复建议
更新 Nexus Repository Manager 到3.21.2或更高版本。
下载地址:https://help.sonatype.com/repomanager3/download/
0x05 相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现 Nexus Repository Manager 在全球均有使用。具体分布如下图所示。 
0x06 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。
0x07 时间线
2020-03-31 Sonatype官方发布通告
2020-04-02 360CERT发布预警
0x08 参考链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论