報告編號:B6-2020-100901安全
報告來源:360CERT微信
報告做者:360CERT網絡
更新日期:2020-10-09網站
0x01 漏洞簡述
2020年10月09日,360CERT監測發現 nexus repository manager 2 發佈了 nexus repository manager 2 目錄穿越漏洞 的風險通告,該漏洞編號爲 CVE-2020-15012 ,漏洞等級:高危,漏洞評分:8。spa
遠程攻擊者經過 構造特殊請求 ,可形成 目錄遍歷以及敏感數據文件泄露 。.net
對此,360CERT建議廣大用戶及時將 nexus repository manager 2 升級到最新版本。與此同時,請作好資產自查以及預防工做,以避免遭受黑客攻擊。code
0x02 風險等級
360CERT對該漏洞的評定結果以下orm
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 高危 |
| 影響面 | 普遍 |
| 360CERT評分 | 8 |
0x03 漏洞詳情
CVE-2020-15012: 目錄穿越漏洞
Nexus Repository 是一個開源的倉庫管理系統,在安裝、配置、使用簡單的基礎上提供了更加豐富的功能。blog
Nexus Repository Manager 2 存在目錄遍歷漏洞,攻擊者經過構造特定的請求,能夠形成目錄遍歷以及敏感數據文件泄露。網絡安全
0x04 影響版本
- sonatype:nexus repository manager 2: <=2.14.18
0x05 修復建議
通用修補建議
下載最新版本的Nexus Repository Manager 2:https://help.sonatype.com/repomanager2/download
0x06 相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統經過對全網資產測繪,發現Nexus Repository Manager 2在全球均有普遍使用,具體分佈以下圖所示。
0x07 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺經過資產測繪技術手段,對該類漏洞進行監測,請用戶聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。
0x08 時間線
2020-10-08 sonatype官方發佈通告
2020-10-09 360CERT發佈通告
0x09 參考連接
一、 sonatype官方通告
https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08
0x0a 特製報告下載連接
CVE-2020-15012 Nexus Repository Manager2 目錄遍歷漏洞通告
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】CVE-2020-15012NexusRepositoryManager2目錄遍歷漏洞通告.docx
推薦閱讀:
三、CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析
長按下方二維碼關注360CERT!謝謝你的關注!
注:360CERT官方網站提供 《CVE-2020-15012:Nexus Repository Manager 2 目錄遍歷漏洞通告》 完整詳情,點擊閱讀原文
本文分享自微信公衆號 - 三六零CERT(CERT-360)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。