Nexus Repository Manager 3远程代码执行漏洞预警

近日，腾讯安全云鼎实验室发现了通用软件包仓库管理服务 Nexus Repository Manager 3 存在访问控制缺失及远程代码执行漏洞（漏洞编号：CVE-2019-7238），并第一时间向 Sonatype 公司汇报，协助其修复漏洞。

2019年2月5日，Sonatype 官方发布安全公告，公开致谢腾讯安全云鼎实验室安全研究员 Rico 和长亭科技安全研究员 voidfyoo。

公告链接：https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019

此漏洞发现后，腾讯云已第一时间自检并确认不受该漏洞影响，同时为客户提供了防御和检测能力。

为避免您的业务受影响，腾讯云安全团队建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞概述

由于 Nexus Repository Manager 3 访问控制措施缺失，未授权的用户可利用该问题构造特定请求在服务器上执行 Java 代码，从而达到远程代码执行的目的，影响系统安全。

目前官方已经通过添加访问控制措施和禁用服务器上特定路径的 Java 代码执行能力来缓解该漏洞。

【风险等级】高风险

【漏洞危害】远程代码执行

影响版本

Nexus Repository Manager  OSS/Pro 3.6.2 版本到 3.14.0 版本

安全版本

Nexus Repository Manager OSS/Pro 3.15.0 版本

修复建议

目前官方已经发布新版本修改了该漏洞，建议您参照上述【安全版本】升级到对应的最新版本。

最新版本下载链接：

https://help.sonatype.com/repomanager3/download

声明：本文来自云鼎实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。