漏洞信息详情
Sonatype Nexus 代码注入漏洞
- CNNVD编号:CNNVD-201401-370
- 危害等级: 高危
- CVE编号: CVE-2014-0792
- 漏洞类型: 代码注入
- 发布时间: 2014-01-23
- 威胁类型: 远程
- 更新时间: 2014-01-23
- 厂 商: sonatype
- 漏洞来源:
漏洞简介
Sonatype Nexus是美国Sonatype公司的一款可通过一小段描述信息来管理项目的构建、报告和文档的项目管理工具(仓库管理器)。该工具能够实现代理远程仓库、创建本地宿主仓库及仓库组等。
Sonatype Nexus 1.x和2.7.1之前的2.x版本中存在代码注入漏洞。远程攻击者可利用该漏洞创建任意对象,并执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.sonatype.org/advisories/archive/2014-01-13-Nexus
参考网址
来源: support.sonatype.com
链接:https://support.sonatype.com/entries/37828023-Nexus-Security-Vulnerability
来源: sonatype.zendesk.com
链接:https://sonatype.zendesk.com/entries/37551958-Configuring-Xstream-Whitelist
来源: www.sonatype.org
链接:http://www.sonatype.org/advisories/archive/2014-01-13-Nexus
受影响实体
- Sonatype Nexus:2.0
- Sonatype Nexus:1.0
- Sonatype Nexus:2.0.3
- Sonatype Nexus:2.6.4
- Sonatype Nexus:2.0.2
补丁
- nexus-2.7.1-01-bundle
- nexus-2.7.1-01-bundle
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论