『360CERT』CVE-2020
文章图片
【『360CERT』CVE-2020】报告编号:B6-2020-040201
报告来源:360-CERT
报告作者:360-CERT
更新日期:2020-04-020x01漏洞背景
2020年04月02日 , 360CERT监测发现SonatypeSecurityTeam官方发布了一则关于NexusRepositoryManager3.x的远程代码执行漏洞通告 。 在通过认证的情况下 , 攻击者可以通过JavaEL表达式注入造成远程代码执行 。
NexusRepository是一个开源的仓库管理系统 , 在安装、配置、使用简单的基础上提供了更加丰富的功能 。 0x02风险等级
360CERT对该漏洞进行评定
文章图片
360CERT建议广大用户及时更新NexusRepositoryManager版本 。 做好资产自查/自检/预防工作 , 以免遭受攻击 。 0x03影响版本
NexusRepositoryManagerOSS/Pro:<=3.21.10x04修复建议
更新NexusRepositoryManager到3.21.2或更高版本 。
下载地址:https://help.sonatype.com/repomanager3/download/0x05相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘 , 发现NexusRepositoryManager在全球有使用情况 。 具体分布如下图所示 。
文章图片
0x06产品侧解决方案360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段 , 对该类漏洞/事件进行监测 , 请用户联系相关产品区域负责人获取对应产品 。 0x07时间线
2020-03-31Sonatype官方发布通告
2020-04-02360CERT发布预警0x08参考链接https://support.sonatype.com/hc/en-us/articles/360044882533
推荐阅读
- 『零壹财经』在于金融,融慧金科王劲:金融科技的基石不在科技
- 洛阳晚报■产品畅销海内外,研发智能充电桩
- 豆豆看娱乐乐■阅读时间和文章长短有关,小金车系统定时任务50篇
- 产业气象站■又学了一招,钢中碳含量的7种测定方法
- 「猎云网」一位马拉松跑者和她的高通中国17年
- 「六易哥」显卡挡硬盘?傻缺硬件如何让你买了就后悔
- 『科学书屋』“太阳系”实际就是二三代恒星系统
- [AI工信科创]自动驾驶复苏在2020
- 「小小天看世界」一个处处收费的网站,58同城
- 『木易机械』让大数据告诉你:你的城市复工程度如何了