安全通告-Nexus Repository Manager 3 XML外部实体注入漏洞
发布时间:2020-12-28
阅读次数:1411
漏洞描述
近日,监测发现 Nexus Repository Manager 3 发布了 Nexus Repository Manager 3 命令注入漏洞 的风险通告,该漏洞编号为 CVE-2020-29436。
拥有管理员权限的远程攻击者通过 构造特定的XML请求 ,可造成 XML外部实体注入 。对此,建议广大用户及时将 Nexus Repository Manager 3 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞编号
CVE-2020-29436
漏洞危害
Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。
在 Nexus Repository Manager 3 中存在XML外部实体注入( XXE )漏洞。拥有管理员权限的攻击者能够利用该漏洞配置系统、查看文件系统上的文件。并与 Nexus Repository Manager 3 可以访问的任何后端或外部系统进行交互。
漏洞等级
高危
受影响版本
Sonatype:Nexus Repository Manager 3:<=3.28.1
修复方案
目前官方已发布新版本修复了此漏洞,请受影响的用户尽快升级至对应的新版本进行防护。下载地址为:
https://help.sonatype.com/repomanager3/download
参考链接
1. https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15
/
网络安全