Nexus Repository 3 必知必修的高危漏洞

定期检查并升级至官方最新版本,优先修复CVE-2024-4956等无需认证的高危漏洞

1.路径遍历漏洞(CVE-2024-4956)。

  • 漏洞描述: 在Nexus Repository 3.68.1之前的版本中,存在路径遍历漏洞(CVSS 7.5),允许未经身份验证的攻击者通过构造恶意URL读取服务器任意文件(如/etc/passwd、配置文件等),导致敏感信息泄露。
  • 影响版本: Sonatype Nexus Repository 3.0.0 – 3.68.0。
  • 利用条件: 攻击者需具备网络访问权限,无需任何身份验证。
  • 修复建议: 升级至3.68.1或更高版本,或通过删除jetty.xmlresourceBase配置行临时缓解。

2. 远程代码执行漏洞(CVE-2019-7238)

  • 漏洞描述: 在3.14.0及之前版本中,OrientDB自定义函数的JEXL表达式执行功能存在未授权访问漏洞,可导致远程命令执行。
  • 影响版本: Nexus Repository 3.6.2 – 3.14.0。
  • 利用条件: 需具备低权限用户凭证(如默认管理员账户)。
  • 修复建议: 升级至3.15.0及以上版本,并禁用默认弱口令。

3. 表达式注入漏洞(CVE-2020-10199/CVE-2020-10204)

  • 漏洞描述: 在3.21.1及之前版本中,存在EL表达式注入漏洞(CVE-2020-10199)及其绕过变种(CVE-2020-10204),攻击者可构造恶意请求执行系统命令。
  • 影响版本: Nexus Repository 3.x ≤ 3.21.1。
  • 利用条件: 需通过认证(如管理员权限)。
  • 修复建议: 升级至3.22.0及以上版本,并限制高危接口访问权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值