首页 > 安全钻研 > 安全传递 > 安全公告

Nexus Repository Manager 3 远程代码执行缝隙安全公告

颁布功夫 2019-02-14

缝隙编号和级别

CVE编号：CVE-2019-7238，，，，，，危险级别：高危，，，，，， CVSS分值：官方未评定

影响领域

受影响版本：

Nexus Repository Manager OSS/Pro 3.x < 3.15

缝隙概述

2019年2月5日，，，，，，Sonatype 官方颁布安全公告，，，，，，建复了存在于 Nexus Repository Manager 3中的一个远程代码执行缝隙。。。。。。

Sonatype Nexus是一个Maven的仓库治理系统，，，，，，它提供了壮大的仓库治理、构件搜索等职能，，，，，，并且能够用来搭建Maven仓库私服，，，，，，在代理远程仓库的同时守护本地仓库，，，，，，以节俭带宽和功夫。。。。。。

在Nexus Repository Manager OSS/Pro 3.15之前的版本中，，，，，，由于某处职能不足接见节造，，，，，，且未能正确处置用户传入的数据，，，，，，导致远程且未经授权认证的攻击者，，，，，，仅通过一个恶意的 HTTP要求，，，，，，就能够在服务端执行肆意Java代码，，，，，，获取系统权限：

8827太阳集团(Macau)股份有限公司-Official website

目前官方已经通过增长接见节造措施和禁用服务器上特定蹊径的Java代码执行能力来缓解该缝隙。。。。。。

建复建议

目前官方已经颁布新版本批改了该缝隙，，，，，，请升级 Nexus Repository Manager OSS/Pro 3 到 3.15 版本。。。。。。下载链接：https://help.sonatype.com/repomanager3/download。。。。。。

参考链接

https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

软件升级

投资者关系