【风险公告】NRM 2&3 Shiro权限认证绕过缝隙
2020-10-16 00:00:00
近日,234钱包安全应急响应中心监测到Sonatype官方公告了一个Nexus Respository Manager 2&3验证绕过缝隙,该缝隙风险等级为高危�。
请宽大用户高度关注并实时将Nexus Respository Manager 2&3 升级到安全版本,预防遭逢损失�。
缝隙描述
Nexus Respository 是一个开源的仓库治理系统,因装置�、�、�、配置�、�、�、使用单一且职能丰硕被宽泛使用�。
Nexus Respository Manager 2&3版本中使用了旧版本的Shiro组件,且受到了Apache Shiro权限绕过缝隙(CVE-2020-13933)的影响�。攻击者利用该权限绕过缝隙接见到后盾职能,并可能导致号令执行�。
风险等级
高危
影响版本
-Nexus Respository Manager 2�:<2.14.19
-Nexus Respository Manager 3�:<3.27.0
修复建议
1. 将Nexus Respository Manager 2升级到2.14.19或更高版本�;
https://help.sonatype.com/repomanager2/download
2. 将Nexus Respository Manager 3升级到3.27.0或更高版本�;
https://help.sonatype.com/repomanager3/download
参考链接
[1]https://support.sonatype.com/hc/en-us/articles/360053556313-CVE-2020-13933-Nexus-Repository-Manger-2-3-Shiro-Authentication-Bypass
北京234钱包网络技术有限公司
2020/10/16