Sonatype Nexus Repository 3<3.68.1 任意文件下载漏洞 (CVE-2024-4956)

漏洞类型 路径遍历 发现时间 2024-05-17 漏洞等级 高危
MPS编号 MPS-acvt-3krg CVE编号 CVE-2024-4956 漏洞影响广度

漏洞危害

OSCS 描述
Sonatype Nexus Repository 3 是开源的制品库,用于存储和管理软件构建制品。
受影响版本中存在路径遍历漏洞,未经身份验证的攻击者可通过构造恶意的 URL 下载目标系统上的任意文件。
参考链接:https://www.oscs1024.com/hd/MPS-acvt-3krg

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
nexus_repository_manager_3 (-∞, 3.68.1) 缓解措施 移除/etc/jetty/jetty.xml中/public路径访问配置
参考链接:https://www.oscs1024.com/hd/MPS-acvt-3krg

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-acvt-3krg

https://nvd.nist.gov/vuln/detail/CVE-2024-4956

https://support.sonatype.com/hc/en-us/articles/29416509323923-CVE-2024-4956-Nexus-Repository-3-Path-Traversal-2024-05-16

https://support.sonatype.com/hc/en-us/articles/29412417068819-Mitigations-for-CVE-2024-4956-Nexus-Repository-3-Vulnerability

(0)
上一篇 2024年5月18日
下一篇 2024年5月21日

相关推荐

  • Spring Web UriComponentsBuilder URL解析不当漏洞 (CVE-2024-22243)

    漏洞类型 SSRF 发现时间 2024-02-21 漏洞等级 高危 MPS编号 MPS-uwzo-gx91 CVE编号 CVE-2024-22243 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。 受…

    2024年2月23日
    0
  • JumpServer<3.10.0 开放重定向漏洞 (CVE-2024-24763)

    漏洞类型 跨站重定向 发现时间 2024-02-21 漏洞等级 中危 MPS编号 MPS-3dz5-xuk2 CVE编号 CVE-2024-24763 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是开源的堡垒机和运维安全审计系统。 JumpServer 3.10.0之前版本中存在开放重定向漏洞,攻击者诱导用户点击恶意链接如:hxxps:…

    2024年2月21日
    0
  • PaddlePaddle < 2.6.0 存在命令注入漏洞 (CVE-2024-0521)

    漏洞类型 代码注入 发现时间 2024-01-21 漏洞等级 严重 MPS编号 MPS-g8j9-m4lq CVE编号 CVE-2024-0521 漏洞影响广度 一般 漏洞危害 OSCS 描述 PaddlePaddle(飞桨)是百度研发的深度学习平台,提供了_wget_download函数通过wget进行文件下载。 PaddlePaddle 2.6.0之前版…

    2024年1月24日
    0
  • Microsoft Word NTLM哈希信息泄露漏洞 (CVE-2023-36761)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-09-13 漏洞等级 中危 MPS编号 MPS-mir2-plxk CVE编号 CVE-2023-36761 漏洞影响广度 广 漏洞危害 OSCS 描述 Microsoft Office Word是微软公司的一个文字处理器应用程序。 Microsoft Word受影响版本中存在信息泄露漏洞,使用预览窗格对文件…

    2023年9月14日
    0
  • Apache Airflow JDBC Provider <4.0.0 远程代码执行漏洞(CVE-2023-22886)

    漏洞类型 代码注入 发现时间 2023/6/30 漏洞等级 中危 MPS编号 MPS-2023-0703 CVE编号 CVE-2023-22886 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow 是一个开源的任务和工作流管理平台,JDBC Provider负责提供与关系型数据库的连接和交互功能。Apache Airflow JDBC…

    2023年8月30日
    0