报告编号: B6-2020-100901
报告来源: 360厘米
报告员: 360CERT
更新日期: 2020-10-09
0x01 漏洞简述
2020年10月09日,通过360CERT监测,Nexus存储库管理器2的Nexus存储库管理器2目录为CVE-2020-15012,漏洞级别:哈哈远程攻击者创建特殊请求可能会导致目录遍历和敏感数据文件的泄露。
相反,360CERT建议许多用户将nexus repository manager 2升级到最新版本。 同时,请进行资产的自我调查和预防,以免受到黑客攻击。
0x02 风险等级
360CERT对该脆弱性的评价结果如下
0x03 漏洞详情
CVE-2020-15012: 目录穿越漏洞
Nexus repository是一个开源仓库管理系统,不仅安装、配置和使用方便,还提供了更多功能。Nexus Repository Manager 2中存在目录扫描漏洞,攻击者通过创建特定请求,可能会导致目录扫描和机密数据文件的泄漏。
0x04 影响版本
sonatype : nexusrepositorymanager 2:=2. 14.18下载
0x05 修复建议
通用修补建议
nexusrepositorymanager2: https://帮助. sonatype.com /还原管理器2 /下载的最新版本
0x06 相关空间测绘数据
360安全大脑-Quake网络空间映射系统通过映射全网络资产,发现Nexus Repository Manager 2在全世界广泛使用,具体分布如下图。
0x07 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产映射平台通过资产映射技术手段,监控此类漏洞,请用户联系相关产品区域负责人或(quake#360.cn )获取对应产品
0x08 时间线
2020-10-08 sonatype官方发布通告2020-10-09 360CERT发布通知
欢迎安全客户-加入有思想的安全新媒体www.anquanke.com/交流小组113129131获取最新信息
原文链接: 3359 www.anquan ke.com/post/id/219133