一、概要

2020年5月11日，華為云監(jiān)測到業(yè)界已爆出Nexus Repository Manager 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-10199、CVE-2020-10204）POC，其中CVE-2020-10199只需要具有創(chuàng)建Bower組存儲(chǔ)庫API的調(diào)用權(quán)限即可通過繞過表達(dá)式觸發(fā)漏洞，安全風(fēng)險(xiǎn)上升。華為云提醒使用Nexus Repository Manager用戶及時(shí)安排自檢并做好安全加固。

2020年4月2日，華為云關(guān)注到Sonatype安全團(tuán)隊(duì)官方發(fā)布Nexus Repository Manager 3 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-10199、CVE-2020-10204）安全公告。Nexus Repository 是一個(gè)開源的倉庫管理系統(tǒng)，漏洞使擁有NXRM管理帳戶的攻擊者可以通過向NXRM發(fā)送惡意請(qǐng)求來執(zhí)行任意代碼。

參考鏈接：

https://support.sonatype.com/hc/en-us/articles/360044882533  

https://support.sonatype.com/hc/en-us/articles/360044356194

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Nexus Repository Manager 3.x OSS / Pro <= 3.21.1

安全版本：

Nexus Repository Manager OSS/Pro version 3.21.2

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

下載地址：https://help.sonatype.com/repomanager3/download/

華為云WAF已具備針對(duì)此漏洞的防護(hù)能力，只需接入防護(hù)并開啟阻斷模式即可。接入及配置參考鏈接：https://support.huaweicloud.com/qs-waf/index.html

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測試。