Nexus Repository Manager代碼執(zhí)行漏洞是怎樣的

Nexus Repository Manager代碼執(zhí)行漏洞是怎樣的，針對(duì)這個(gè)問題，這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

0x00 漏洞背景

2020年04月02日， 360CERT監(jiān)測(cè)發(fā)現(xiàn) Sonatype Security Team 官方發(fā)布了一則關(guān)于 Nexus Repository Manager 3.x 的遠(yuǎn)程代碼執(zhí)行漏洞通告。在通過認(rèn)證的情況下，攻擊者可以通過 JavaEL 表達(dá)式注入造成遠(yuǎn)程代碼執(zhí)行。

Nexus Repository 是一個(gè)開源的倉庫管理系統(tǒng)，在安裝、配置、使用簡單的基礎(chǔ)上提供了更加豐富的功能。

0x01 風(fēng)險(xiǎn)等級(jí)

360CERT對(duì)該漏洞進(jìn)行評(píng)定

360CERT建議廣大用戶及時(shí)更新Nexus Repository Manager 版本。做好資產(chǎn) 自查/自檢/預(yù)防 工作，以免遭受攻擊。

0x02 影響版本

Nexus Repository Manager OSS/Pro: <=3.21.1

0x03 修復(fù)建議

更新 Nexus Repository Manager 到3.21.2或更高版本。

下載地址：

https://help.sonatype.com/repomanager3/download/

0x04 相關(guān)空間測(cè)繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)通過對(duì)全網(wǎng)資產(chǎn)測(cè)繪，發(fā)現(xiàn) Nexus Repository Manager 在全球有使用情況。具體分布如下圖所示。

0x05 產(chǎn)品側(cè)解決方案

360城市級(jí)網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)

360安全大腦的QUAKE資產(chǎn)測(cè)繪平臺(tái)通過資產(chǎn)測(cè)繪技術(shù)手段，對(duì)該類 漏洞/事件 進(jìn)行監(jiān)測(cè)，請(qǐng)用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人獲取對(duì)應(yīng)產(chǎn)品。

關(guān)于Nexus Repository Manager代碼執(zhí)行漏洞是怎樣的問題的解答就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)。