報告編號:B6-2020-121601
更新日期:2020-12-16
未授權的遠端攻擊者透過 構造特定的XML請求 ,可造成 XML外部實體注入 。
0x03 漏洞詳情CVE-2020-29436: XML外部實體注入漏洞
Nexus Repository 是一個開源的倉庫管理系統,在安裝、配置、使用簡單的基礎上提供了更加豐富的功能。
在 Nexus Repository Manager 3 中存在XML外部實體注入( XXE )漏洞。攻擊者能夠利用該漏洞獲取 Nexus Repository Manager 3 的管理員帳戶,從而可以配置系統、檢視檔案系統上的檔案。
0x04 影響版本- Sonatype:Nexus Repository Manager 3 : <=3.28.1
0x05 修復建議通用修補建議
升級到最新版本版本。 下載地址為:
https://help.sonatype.com/repomanager3/download
0x06 相關空間測繪資料360安全大腦-Quake網路空間測繪系統透過對全網資產測繪,發現 Nexus 在 全球 均有廣泛使用,具體分佈如下圖所示。
0x07 產品側解決方案360城市級網路安全監測服務
0x08 時間線2020-12-15 Sonatype官方釋出通告
0x09 參考連結CVE-2020-29436 Nexus Repository Manager 3 - XML External Entities injection - 2020-12-15https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15
若有訂閱意向與定製需求請傳送郵件至 g-cert-report#360.cn ,並附上您的 公司名、姓名、手機號、地區、郵箱地址。