『360CERT』CVE-2020


『360CERT』CVE-2020
文章图片
【『360CERT』CVE-2020】报告编号:B6-2020-040201
报告来源:360-CERT
报告作者:360-CERT
更新日期:2020-04-020x01漏洞背景
2020年04月02日 , 360CERT监测发现SonatypeSecurityTeam官方发布了一则关于NexusRepositoryManager3.x的远程代码执行漏洞通告 。 在通过认证的情况下 , 攻击者可以通过JavaEL表达式注入造成远程代码执行 。
NexusRepository是一个开源的仓库管理系统 , 在安装、配置、使用简单的基础上提供了更加丰富的功能 。 0x02风险等级
360CERT对该漏洞进行评定
『360CERT』CVE-2020
文章图片
360CERT建议广大用户及时更新NexusRepositoryManager版本 。 做好资产自查/自检/预防工作 , 以免遭受攻击 。 0x03影响版本
NexusRepositoryManagerOSS/Pro:<=3.21.10x04修复建议
更新NexusRepositoryManager到3.21.2或更高版本 。
下载地址:https://help.sonatype.com/repomanager3/download/0x05相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘 , 发现NexusRepositoryManager在全球有使用情况 。 具体分布如下图所示 。
『360CERT』CVE-2020
文章图片
0x06产品侧解决方案360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段 , 对该类漏洞/事件进行监测 , 请用户联系相关产品区域负责人获取对应产品 。 0x07时间线
2020-03-31Sonatype官方发布通告
2020-04-02360CERT发布预警0x08参考链接https://support.sonatype.com/hc/en-us/articles/360044882533