Nexus Repository Manager 3命令注入漏洞预警

发布时间：2023-04-27 16:13:52 来源：信息技术中心阅读次数：

一、概要

政务云安全团队关注到Sonatype官方发布了 Nexus Repository Manager 3命令注入漏洞（漏洞编号为CVE-2020-29436）。攻击者可利用漏洞，通过构造特定的XML请求，造成XML外部实体注入。政务云安全团队提醒各位客户及时安排自检并做好安全加固。

参考链接： https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、影响范围

影响版本

Nexus Repository Manager 3 <= 3.28.1

安全版本

Nexus Repository Manager 3.29.0及以上

四、安全建议

Sonatype官方已经发布最新补丁，请涉及该组件的客户尽快升级到最新版本。

参考链接： https://help.sonatype.com/repomanager3/download

注：修复漏洞前请将资料备份，并进行充分测试。

上一条：Apache Superset身份认证绕过漏洞预警(CVE-2023-27524) 下一条：微软4月份月度安全漏洞预警