sonatype nexus repository manager外部实体注入漏洞
- cnnvd编号:未知
- 危害等级: 高危
- cve编号:cve-2020-29436
- 漏洞类型: xml外部实体注入
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2020-12-17
- 更新时间:2021-01-14
漏洞简介
1、nexus repository manger 组件介绍
nexus 一个是maven仓库管理器,通常使用maven,是从maven中央仓库下载所需要的构件(artifact),但这不是一个好的做法,更好的做法是在本地架设一个maven仓库服务器,在代理远程仓库的同时维护本地仓库,以节省带宽和时间,nexus就可以满足这样的需要。此外,他还提供了强大的仓库管理功能,构件搜索功能,它基于rest,占用较少的内存,基于简单文件系统而非数据库。这些优点使其日趋成为最流行的maven仓库管理器。
2 、漏洞描述
2020年12月15日,sonatype官方发布了nexus repository manager中一个外部实体注入漏洞的风险通告,该漏洞使得具有nexus repository manager管理员权限的攻击者可以配置系统,访问系统文件,并与任何nexus repository manager可以访问的后端或外部系统进行交互。官方已禁止xml解析库解析来自外部的实体,从而修复此问题。
漏洞公示
暂无
参考网站
受影响实体
目前受影响的nexus版本:
nexus repository manager 3 <= 3.28.1
补丁
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
nexus repository manager 3下载
