0x01 漏洞简述

2020年10月09日，通过360CERT监测，Nexus存储库管理器2的Nexus存储库管理器2目录为CVE-2020-15012，漏洞级别：哈哈

远程攻击者创建特殊请求可能会导致目录遍历和敏感数据文件的泄露。

相反，360CERT建议许多用户将nexus repository manager 2升级到最新版本。同时，请进行资产的自我调查和预防，以免受到黑客攻击。

0x02 风险等级

360CERT对该脆弱性的评价结果如下

Nexus repository是一个开源仓库管理系统，不仅安装、配置和使用方便，还提供了更多功能。

Nexus Repository Manager 2中存在目录扫描漏洞，攻击者通过创建特定请求，可能会导致目录扫描和机密数据文件的泄漏。

sonatype : nexusrepositorymanager 2:=2. 14.18

下载

nexusrepositorymanager2: https://帮助. sonatype.com /还原管理器2 /下载的最新版本

360安全大脑-Quake网络空间映射系统通过映射全网络资产，发现Nexus Repository Manager 2在全世界广泛使用，具体分布如下图。

360安全大脑的QUAKE资产映射平台通过资产映射技术手段，监控此类漏洞，请用户联系相关产品区域负责人或(quake#360.cn )获取对应产品

2020-10-08 sonatype官方发布通告

2020-10-09 360CERT发布通知

欢迎安全客户-加入有思想的安全新媒体www.anquanke.com/交流小组113129131获取最新信息

原文链接： 3359 www.anquan ke.com/post/id/219133