预警 | Nexus Repository Manager 3 访问控制缺失及远程代码执行漏洞安全预警
预警 | Nexus Repository Manager 3 访问控制缺失及远程代码执行漏洞安全预警
近日,腾讯安全云鼎实验室发现了通用软件包仓库管理服务 Nexus Repository Manager 3?存在访问控制缺失及远程代码执行漏洞(漏洞编号:CVE-2019-7238),并第一时间向 Sonatype 公司汇报,协助其修复漏洞。
2019年2月5日,Sonatype 官方发布安全公告,公开致谢腾讯安全云鼎实验室安全研究员 Rico 和长亭科技安全研究员 voidfyoo。
公告链接:https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019
此漏洞发现后,腾讯云已第一时间自检并确认不受该漏洞影响,同时为客户提供了防御和检测能力。
为避免您的业务受影响,腾讯云安全团队建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞概述
由于 Nexus Repository Manager 3 访问控制措施缺失,未授权的用户可利用该问题构造特定请求在服务器上执行 Java 代码,从而达到远程代码执行的目的,影响系统安全。
目前官方已经通过添加访问控制措施和禁用服务器上特定路径的 Java 代码执行能力来缓解该漏洞。
【风险等级】高风险
【漏洞危害】远程代码执行
影响版本
Nexus Repository Manager? OSS/Pro 3.6.2 版本到 3.14.0 版本
安全版本
Nexus Repository Manager OSS/Pro 3.15.0 版本
修复建议
目前官方已经发布新版本修改了该漏洞,建议您参照上述【安全版本】升级到对应的最新版本。
最新版本下载链接:
https://help.sonatype.com/repomanager3/download
腾讯安全云鼎实验室?关注云主机与云内流量的安全研究和安全运营。利用机器学习与大数据技术实时监控并分析各类风险信息,帮助客户抵御高级可持续攻击;联合腾讯所有安全实验室进行安全漏洞的研究,确保云计算平台整体的安全性。相关能力通过腾讯云开放出来,为用户提供黑客入侵检测和漏洞风险预警等服务,帮助企业解决服务器安全问题。