【风险公告】NRM 3 XML外部实体注入缝隙
2020-12-16 00:00:00
12月16日,234钱包安全应急响应中心监测到Sonatype官方公告了一个Nexus Respository Manager 3 XML外部实体注入缝隙,该缝隙风险等级为高危�。�。�。
请受影响的用户将Nexus Respository Manager 3 升级到安全版本,预防遭逢损失�。�。�。
缝隙描述
Nexus Respository 是一个开源的仓库治理系统,因装置、�、�、配置、�、�、使用单一且职能丰硕被宽泛使用�。�。�。
Nexus Respository Manager 3存在XML外部实体注入缝隙,占有治理员权限的远程攻击者通过机关特定的XML要求能够造成肆意文件读取、�、�、执行系统号令、�、�、探测内网端口、�、�、攻击内网等�:�:�:�。�。�。
风险等级
高危
影响版本
-Nexus Respository Manager 3�:�:�:<3.28.1
修复建议
将Nexus Respository Manager 3升级到安全版本�;�;�;
https://help.sonatype.com/repomanager3/download
参考链接
[1]https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15
北京234钱包网络技术有限公司
2020/12/16