Nexus Repository Manager远程代码执行漏洞 (CVE-2020-15871) 预警

一、基本情况

近日，Sonatype发布了关于Nexus Repository Manager远程代码执行漏洞（CVE-2020-15871）的通告，漏洞威胁较高，且影响范围较大。攻击者可利用该漏洞执行任意代码。

建议广大用户尽快下载更新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞详情

Sonatype Nexus Repository Manager（NXRM）是美国Sonatype公司的一款Maven仓库管理器，它提供了强大的仓库管理、构件搜索等功能，并且可以用来搭建Maven 仓库私服，在代理远程仓库的同时维护本地仓库，以节省带宽和时间。

Sonatype Nexus Repository Manager OSS/Pro 3.25.1之前版本中存在远程代码执行漏洞，具有适当权限的攻击者可利用该漏洞执行任意代码。

三、影响范围

Nexus Repository Manager 3 OSS < 3.25.1

Nexus Repository Manager 3 Pro < 3.25.1

四、处置建议

目前官方已发布漏洞修复版本，建议用户尽快下载并安装修复版本。

https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29

五、参考链接

https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29

https://support.sonatype.com/hc/zh-CN/articles/360051424554

https://support.sonatype.com/hc/en-us/articles/360051424754

支持单位：

腾讯云计算（北京）有限责任公司

深信服科技股份有限公司

上海观安信息技术股份有限公司

中国信息通信研究院

声明：本文来自网络安全威胁信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。