Sonatype Nexus Repository 路径穿越漏洞

Nexus Repository 3是一款仓库管理系统，用于存储、组织和分发软件构件。它支持多种包格式，如Maven、npm和Docker，帮助开发者集中管理依赖和提高构建效率。
2024年5月，Nexus Repository官方Sonatype发布了新补丁，修复了一处路径穿越漏洞CVE-2024-4956。经分析，该漏洞可以通过特定的路径请求来访问系统文件，进而可能导致未授权访问或信息泄露。该漏洞利用简单，建议受影响的客户尽快修复漏洞。

成功利用这一漏洞的攻击者可以读取Nexus Repository服务器上的任意文件，这可能包括配置文件、数据库备份以及其他敏感数据。此外，如果攻击者能够进一步利用服务器上的其他配置或漏洞，可能会完全控制受影响的服务器。

升级到 Sonatype Nexus Repository OSS/Pro 版本 3.68.1 或更高版本，可通过 https://help.sonatype.com/repomanager3/download 下载更新。
如果无法立即升级，请参考缓解措施文档：https://support.sonatype.com/hc/en-us/articles/29412417068819-Mitigations-for-CVE-2024-4956-Nexus-Repository-3-Vulnerability。