访问控制缺失及远程代码执行漏洞预警

| 2019-05-17

近日,腾讯安全云鼎实验室发现通用软件包仓库管理服务 Nexus Repository Manager 3 存在访问控制缺失及远程代码执行漏洞(漏洞编号:CVE-2019-7238),非授权的用户可利用该漏洞在服务器上注入或执行任意代码,影响系统安全。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
        由于 Nexus Repository Manager 3 访问控制措施缺失,未授权的用户可利用该问题构造特定请求在服务器上执行 Java 代码,从而达到远程代码执行的目的,
目前官方已经通过添加访问控制措施和禁用服务器上特定路径的 Java 代码执行能力来缓解该漏洞。
 
【风险等级】
   高风险
 
【漏洞风险】
   远程代码执行
 
【影响版本】
  Nexus Repository Manager  OSS/Pro 3.6.2 到 3.14.0 版本
 
【安全版本】
  Nexus Repository Manager OSS/Pro 3.15.0 版本
 
【修复建议】
 此漏洞发现后,腾讯云已第一时间自检确认不受该漏洞影响,同时为客户提供了防御(WAF)和检测(云镜)能力。目前官方已经发布新版本修改了该漏洞,建议您参照上述【安全版本】升级到对应的最新版本。
最新版本下载链接:https://help.sonatype.com/repomanager3/download

编辑:航网科技 来源:深圳航网科技有限公司 本文版权归原作者所有 转载请注明出处

在线客服

微信扫一扫咨询客服


全国免费服务热线
0755-36300002

返回顶部