漏洞类型	路径遍历	发现时间	2024-05-17	漏洞等级	高危
MPS编号	MPS-acvt-3krg	CVE编号	CVE-2024-4956	漏洞影响广度

目录隐藏

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

Sonatype Nexus Repository 3 是开源的制品库，用于存储和管理软件构建制品。
受影响版本中存在路径遍历漏洞，未经身份验证的攻击者可通过构造恶意的 URL 下载目标系统上的任意文件。
参考链接：https://www.oscs1024.com/hd/MPS-acvt-3krg

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
nexus_repository_manager_3 (-∞, 3.68.1)	缓解措施	移除/etc/jetty/jetty.xml中/public路径访问配置
参考链接：https://www.oscs1024.com/hd/MPS-acvt-3krg

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-acvt-3krg

https://nvd.nist.gov/vuln/detail/CVE-2024-4956

https://support.sonatype.com/hc/en-us/articles/29416509323923-CVE-2024-4956-Nexus-Repository-3-Path-Traversal-2024-05-16

https://support.sonatype.com/hc/en-us/articles/29412417068819-Mitigations-for-CVE-2024-4956-Nexus-Repository-3-Vulnerability

Sonatype Nexus Repository 3<3.68.1 任意文件下载漏洞 (CVE-2024-4956)

漏洞危害

影响范围及处置方案

OSCS 平台影响范围和处置方案

排查方式

相关推荐

MLflow <2.12.1 存在路径遍历漏洞 (CVE-2024-3848)

Node.js child_process.spawn Windows命令注入漏洞 (CVE-2024-27980)

Apache HugeGraph-Server<1.3.0 Gremlin命令执行漏洞 (CVE-2024-27348)

kkFileView 4.2.0-4.4.0 任意文件上传导致远程执行漏洞 (MPS-wzyc-o678)

Splunk Enterprise for Windows 反序列化漏洞 (CVE-2024-23678)