Sonatype Nexus Repository Manager外部实体注入漏洞
- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2020-29436
- 漏洞类型: XML外部实体注入
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2020-12-23
- 更新时间:2021-01-13
漏洞简介
1、Nexus Repository Manger 介绍
Nexus 一个是Maven仓库管理器,通常使用Maven,是从Maven中央仓库下载所需要的构件(artifact),但这不是一个好的做法,更好的做法是在本地架设一个Maven仓库服务器,在代理远程仓库的同时维护本地仓库,以节省带宽和时间,Nexus就可以满足这样的需要。此外,他还提供了强大的仓库管理功能,构件搜索功能,它基于REST,占用较少的内存,基于简单文件系统而非数据库。这些优点使其日趋成为最流行的Maven仓库管理器。
2、漏洞描述
2020年12月15日,Sonatype 官方发布了Nexus Repository Manager中一个外部实体注入漏洞的风险通告,该漏洞使得具有Nexus Repository Manager管理员权限的攻击者可以某种方式配置系统,访问系统文件,并与任何Nexus Repository Manager可以访问的后端或外部系统进行交互。官方已禁止XML解析库解析来自外部的实体,从而修复此问题。
漏洞公示
暂无
受影响实体
目前受影响的Nexus版本:
Nexus Repository Manager 3 <= 3.28.1
补丁
目前厂商已发布升级补丁,请受影响用户尽快更新补丁以修复漏洞,补丁获取链接:
Nexus Repository Manager 3下载
