【nexusmodmanager】CVE-2020-10199: Nexus Repository Manager代码执行通告

报告编号：B6-2020-040201

报告员：360-CERT

报告作者：360-CERT

更新日期：2020-04-02

0x01 漏洞背景

20 20年04月02日，360CERT监视公开发布了Sonatype Security Team针对Nexus Repository Manager 3.x的远程代码执行漏洞通知。

在通过认证的情况下，攻击者可以通过JavaEL表达式注入造成远程代码执行。

Nexus Repository 是一个开源的仓库管理系统，在安装、配置、使用简单的基础上提供了更加丰富的功能。

0x02 风险等级

360CERT对该漏洞进行评定

360CERT建议广大用户及时更新 Nexus Repository Manager 版本。做好资产 自查/自检/预防 工作，以免遭受攻击。

0x03 影响版本

Nexus Repository Manager OSS/Pro: <=3.21.1

0x04 修复建议

更新 Nexus Repository Manager 到3.21.2或更高版本。

下载地址：

0x05 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现 Nexus Repository Manager 在全球有使用情况。具体分布如下图所示。

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类 漏洞/事件 进行监测，请用户联系相关产品区域负责人获取对应产品。

0x07 时间线

2020-03-31 Sonatype官方发布通告

2020-04-02 360CERT发布预警

0x08 参考链接