信息技术中心
学校首页 >> 网络信息安全 >> 正文
Nexus Repository Manager 3命令注入漏洞预警
信息来源:信息技术中心 作者:邹国忠 时间:2023-04-27 16:13 阅读次数: 发布:网络信息安全

一、概要

政务云安全团队关注到Sonatype官方发布了 Nexus Repository Manager 3命令注入漏洞(漏洞编号为CVE-2020-29436)。攻击者可利用漏洞,通过构造特定的XML请求,造成XML外部实体注入。政务云安全团队提醒各位客户及时安排自检并做好安全加固。

参考链接: https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、 影响范围

影响版本

Nexus Repository Manager 3 <= 3.28.1

安全版本

Nexus Repository Manager 3.29.0及以上

四、安全建议

Sonatype官方已经发布最新补丁,请涉及该组件的客户尽快升级到最新版本。

参考链接: https://help.sonatype.com/repomanager3/download

注:修复漏洞前请将资料备份,并进行充分测试。


 

上一条:Apache Superset身份认证绕过漏洞预警(CVE-2023-27524) 下一条:微软4月份月度安全漏洞预警

  • 企业微信号

  • 学校公众号

  • 事业单位
  • 网警
Baidu
sogou