漏洞描述
Nexus Repository 3是一款仓库管理系统,用于存储、组织和分发软件构件。它支持多种包格式,如Maven、npm和Docker,帮助开发者集中管理依赖和提高构建效率。
2024年5月,Nexus Repository官方Sonatype发布了新补丁,修复了一处路径穿越漏洞CVE-2024-4956。经分析,该漏洞可以通过特定的路径请求来访问系统文件,进而可能导致未授权访问或信息泄露。该漏洞利用简单,建议受影响的客户尽快修复漏洞。
漏洞危害
成功利用这一漏洞的攻击者可以读取Nexus Repository服务器上的任意文件,这可能包括配置文件、数据库备份以及其他敏感数据。此外,如果攻击者能够进一步利用服务器上的其他配置或漏洞,可能会完全控制受影响的服务器。
修复方法
升级到 Sonatype Nexus Repository OSS/Pro 版本 3.68.1 或更高版本,可通过 https://help.sonatype.com/repomanager3/download 下载更新。
如果无法立即升级,请参考缓解措施文档:https://support.sonatype.com/hc/en-us/articles/29412417068819-Mitigations-for-CVE-2024-4956-Nexus-Repository-3-Vulnerability。
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2024-05-16
漏洞信息更新
2025-07-24
