一、概要

近日，華為云關(guān)注到Sonatype安全團(tuán)隊(duì)官方發(fā)布安全公告，披露在Nexus Repository Manager 3.25.0之前版本中存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-15871），具有適當(dāng)權(quán)限的攻擊者可以像運(yùn)行Nexus Repository Manager服務(wù)器一樣運(yùn)行任意代碼?；蛘撸粽呖梢哉T使具有正確權(quán)限的用戶運(yùn)行Nexus Repository Manager服務(wù)器時(shí)運(yùn)行任意代碼。

華為云提醒使用Nexus Repository Manager用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Nexus Repository Manager 3.x OSS / Pro <= 3.25.0

安全版本：

Nexus Repository Manager OSS/Pro >= 3.25.1

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

下載地址：https://help.sonatype.com/repomanager3/download/

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測試。