Nexus Repository Manager代碼執(zhí)行漏洞是怎樣的，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

創(chuàng)新互聯(lián)建站主營賈汪網(wǎng)站建設的網(wǎng)絡公司,主營網(wǎng)站建設方案,app軟件開發(fā),賈汪h5成都小程序開發(fā)搭建,賈汪網(wǎng)站營銷推廣歡迎賈汪等地區(qū)企業(yè)咨詢

0x00 漏洞背景

2020年04月02日， 360CERT監(jiān)測發(fā)現(xiàn) Sonatype Security Team 官方發(fā)布了一則關于 Nexus Repository Manager 3.x 的遠程代碼執(zhí)行漏洞通告。在通過認證的情況下，攻擊者可以通過 JavaEL 表達式注入造成遠程代碼執(zhí)行。

Nexus Repository 是一個開源的倉庫管理系統(tǒng)，在安裝、配置、使用簡單的基礎上提供了更加豐富的功能。

0x01 風險等級

360CERT對該漏洞進行評定

360CERT建議廣大用戶及時更新Nexus Repository Manager 版本。做好資產(chǎn) 自查/自檢/預防 工作，以免遭受攻擊。

0x02 影響版本

Nexus Repository Manager OSS/Pro: <=3.21.1

0x03 修復建議

更新 Nexus Repository Manager 到3.21.2或更高版本。

下載地址：

https://help.sonatype.com/repomanager3/download/

0x04 相關空間測繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪，發(fā)現(xiàn) Nexus Repository Manager 在全球有使用情況。具體分布如下圖所示。

0x05 產(chǎn)品側(cè)解決方案

360城市級網(wǎng)絡安全監(jiān)測服務

360安全大腦的QUAKE資產(chǎn)測繪平臺通過資產(chǎn)測繪技術手段，對該類 漏洞/事件 進行監(jiān)測，請用戶聯(lián)系相關產(chǎn)品區(qū)域負責人獲取對應產(chǎn)品。

關于Nexus Repository Manager代碼執(zhí)行漏洞是怎樣的問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關知識。