一 漏洞概述

Sonatype 官方发布安全公告，此次官方一共披露了3个漏洞，分别为2个远程代码执行漏洞和1个 XSS 漏洞：

CVE-2020-10199（高风险）：该漏洞允许拥有 NXRM 上任何类型帐户的攻击者通过向 NXRM 发出恶意请求来执行任意代码。

CVE-2020-10204（中风险）：该漏洞使拥有 NXRM 管理帐户的攻击者可以通过向 NXRM 发送恶意请求来执行任意代码。

CVE-2020-10203（中风险）：具有较高特权的攻击者可以创建具有特制属性的实体，当其他用户查看它们时，可以在 NXRM 应用程序的上下文中执行任意 JavaScript。

Nexus Repository 是一个开源的仓库管理系统，在安装、配置、使用简单的基础上提供了更加丰富的功能。

二 影响版本

Nexus Repository Manager 3.x OSS / Pro最高版本（包括3.21.1）

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Nexus Repository Manager” 进行搜索，共得到 12,361,526 条 历史记录，主要分布在美国、中国等国家。

 

五 修复建议

官方已发布新版本修复漏洞，建议您更新到 Nexus Repository Manager OSS/Pro 3.21.2 或更高版本。

 

六 相关链接

ZoomEye：https://www.zoomeye.org/searchResult/report?q=Nexus%20Repository%20Manager

官方：https://support.sonatype.com/hc/en-us/sections/203012668-Security-Advisories