CVE-2020-15871: Nexus Repository Manager代码执行通告
2020-08-03 17:12

报告编号:B6-2020-080302

报告来源:360CERT

报告作者:360CERT

更新日期:2020-08-03

0x01 漏洞简述

2020年08月03日, 360CERT监测发现 Sonatype Security Team 发布了 Nexus Repository Manager 3.x 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-15871,漏洞等级:严重,漏洞评分:9.6分

Sonatype Nexus Repository Manager 3 OSS / Pro 3.25.1 之前版本中存在 远程代码执行漏洞具有适当权限的通过认证的远程攻击者 可以利用该漏洞造成 任意代码执行 的影响。

对此,360CERT建议广大用户及时将 Nexus Repository Manager 3 OSS / Pro 进行版本升级。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 一般
360CERT评分 9.6分

0x03 漏洞详情

Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。

Sonatype Nexus Repository Manager 3 OSS / Pro 3.25.1 之前版本中存在 远程代码执行漏洞具有适当权限的通过认证的远程攻击者 可以利用该漏洞造成 任意代码执行 的影响。

0x04 影响版本

  • Nexus Repository Manager 3 OSS / Pro : <3.25.1

0x05 修复建议

版本升级:

请升级 Nexus Repository Manager 3 OSS / Pro3.25.1。下载地址: https://help.sonatype.com/repomanager3/download

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Nexus Repository Manager全球均有广泛使用,具体分布如下图所示。

0x07 产品侧解决方案

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

0x08 时间线

2020-07-23 sonatype发布安全通告

2020-08-03 360CERT发布通告

0x09 参考链接

  1. CVE-2020-15871 Nexus Repository Manager 3 - Remote Code Execution - 2020-07-29