学习
实践
活动
工具
TVP
写文章
专栏首页云鼎实验室的专栏预警 | Nexus Repository Manager 3 访问控制缺失及远程代码执行漏洞安全预警

预警 | Nexus Repository Manager 3 访问控制缺失及远程代码执行漏洞安全预警

近日,腾讯安全云鼎实验室发现了通用软件包仓库管理服务 Nexus Repository Manager 3 存在访问控制缺失及远程代码执行漏洞(漏洞编号:CVE-2019-7238),并第一时间向 Sonatype 公司汇报,协助其修复漏洞。

2019年2月5日,Sonatype 官方发布安全公告,公开致谢腾讯安全云鼎实验室安全研究员 Rico 和长亭科技安全研究员 voidfyoo。

公告链接:https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019

此漏洞发现后,腾讯云已第一时间自检并确认不受该漏洞影响,同时为客户提供了防御和检测能力。

为避免您的业务受影响,腾讯云安全团队建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞概述

由于 Nexus Repository Manager 3 访问控制措施缺失,未授权的用户可利用该问题构造特定请求在服务器上执行 Java 代码,从而达到远程代码执行的目的,影响系统安全。

目前官方已经通过添加访问控制措施和禁用服务器上特定路径的 Java 代码执行能力来缓解该漏洞。

【风险等级】高风险

【漏洞危害】远程代码执行

影响版本

Nexus Repository Manager  OSS/Pro 3.6.2 版本到 3.14.0 版本

安全版本

Nexus Repository Manager OSS/Pro 3.15.0 版本

修复建议

目前官方已经发布新版本修改了该漏洞,建议您参照上述【安全版本】升级到对应的最新版本。

最新版本下载链接:

https://help.sonatype.com/repomanager3/download

腾讯安全云鼎实验室 关注云主机与云内流量的安全研究和安全运营。利用机器学习与大数据技术实时监控并分析各类风险信息,帮助客户抵御高级可持续攻击;联合腾讯所有安全实验室进行安全漏洞的研究,确保云计算平台整体的安全性。相关能力通过腾讯云开放出来,为用户提供黑客入侵检测和漏洞风险预警等服务,帮助企业解决服务器安全问题。

文章分享自微信公众号:
云鼎实验室

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

原始发表时间:2019-02-13
如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • CVE-2019-7238 Nexus Repository Manager 3 RCE漏洞复现

    Nexus Repository Manager是Sonatype公司的一个产品,简称NXRM,它是一款通用的软件包仓库管理服务,可以简单的理解为Maven的私...

    用户1631416
  • 木马围城:比特币爆涨刺激挖矿木马一拥而上围猎肉鸡资源

    云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊...

    Kendiv
  • 紧急预警丨威胁堪比永恒之蓝,微软高危RDP漏洞利用代码已被公布,请尽快修补!

    微软于5月15日发布的远程桌面服务代码执行漏洞(CVE-2019-0708)可导致远程控制的利用代码已被Metasploit公开发布,经测试真实可用,该漏洞危...

    云鼎实验室
  • 安全运营中心还可以这么用,送给云上处理漏洞应急的筒子们

    随着云计算技术迅猛发展,云平台的稳定性和可扩展性得到越来越多的企业认可,很多企业开始愿意把自身业务放在云上,节约成本的同时,还方便弹性扩展。然而云上的安全管理...

    腾讯云安全
  • 紧急预警 | Windows 新“蠕虫级”远程桌面服务漏洞风险预警(CVE-2019-1181/1182)

    近日,腾讯云安全中心监测到微软于周二补丁日发布了新的“蠕虫级”远程桌面服务高危漏洞预警及8月安全补丁更新公告,一共披露了97 个漏洞,攻击者可利用漏洞进行本地...

    云鼎实验室
  • 【安全预警】泛微e-cology OA数据库配置信息泄露漏洞预警

    近日,腾讯云安全中心监测发现办公协作系统泛微e-cology OA被曝存在数据库配置信息泄露漏洞,如攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接...

    云鼎实验室
  • 安恒信息医疗行业安全解决方案

    1 项目背景 近几年医院信息化迅猛发展,正逐步建立统一高效、资源整合、互联互通、信息共享、透明公开、使用便捷的医疗信息系统。医疗信息系统互联互通的实现,使其...

    安恒信息
  • Perun 内网渗透扫描神器

    Perun是一款主要适用于乙方安服、渗透测试人员和甲方RedTeam红队人员的网络资产漏洞扫描器/扫描框架,它主要适用于内网环境,加载漏洞检测Vuln模块后能够...

    LuckySec
  • 【漏洞预警】泛微e-cology OA系统远程代码执行漏洞预警通告

    2019年9月19日,泛微e-cology OA系统被爆出存在远程代码执行漏洞。该漏洞存在于泛微协同管理应用平台OA系统的BeanShell组件中,该组件为系统...

    绿盟科技安全情报
  • 腾讯主机安全(云镜)兵器库:透视安全事件的千里眼-云原生预警系统

    之前我们讲到可以用“疫情防控思路来解决网络安全问题”,提到针对网络攻击的“攻击源、传播途径、易感系统”等三个环节,分别采取相应措施,可最终解决安全风险。对网络威...

    腾讯安全
  • 安全运营中心还可以这么用,送给云上处理漏洞应急的筒子们

    随着云计算技术迅猛发展,云平台的稳定性和可扩展性得到越来越多的企业认可,很多企业开始愿意把自身业务放在云上,节约成本的同时,还方便弹性扩展。然而云上的安全管理...

    云鼎实验室
  • 【漏洞预警】Apache Solr Velocity远程代码执行漏洞处置手册

    10月30日,@_S00pY公开了Apache Solr 远程代码执行漏洞的利用方式,攻击者可通过Velocity模板实现远程代码执行。经测试,该漏洞可以成功触...

    绿盟科技安全情报
  • 推荐一个内网渗透扫描神器

    Perun是一款主要适用于乙方安服、渗透测试人员和甲方RedTeam红队人员的网络资产漏洞扫描器/扫描框架,它主要适用于内网环境,加载漏洞检测Vuln模块后能够...

    HACK学习
  • “高危”!腾讯发现云虚拟化平台逃逸漏洞

    随着云技术的快速发展和迭代更新,各行各业都在“云”中快速成长,安全性显得尤为重要。而云时代软硬件的“云交互”,对安全来说也意味着新的挑战。 近日,腾讯Blad...

    云鼎实验室
  • Apache Log4j 远程代码执行漏洞源码级分析

    2021 年 12 月 9 日,2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。详情...

    Yano_nankai
  • 预警 | 知名邮件代理程序 Exim 远程代码执行漏洞(CVE-2019-10149)

    近日,腾讯云安全中心监测到知名邮件代理程序 Exim 被曝存在远程代码执行漏洞  (漏洞编号:CVE-2019-10149),攻击者可利用该漏洞获取 Exim...

    腾讯云安全
  • WebLogic反序列化漏洞(CVE-2018-2893)处置建议

    北京时间7月18日,Oracle官方发布了7月份(第二季度)的关键补丁更新CPU(Critical Patch Update),其中修复了一个4月份(第一季度)...

    绿盟科技安全情报
  • Weblogic远程代码执行漏洞(CVE-2018-3245)处置建议

    北京时间10月17日凌晨,Oracle官方发布了10月份(第三季度)关键补丁更新CPU(Critical Patch Update),其中修复了一个7月份(第二...

    绿盟科技安全情报
  • 预警 | Linux 爆“SACK Panic”远程DoS漏洞,大量主机受影响

    近日,腾讯云安全中心监测到Linux 内核被曝存在TCP “SACK Panic” 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019...

    腾讯云安全

扫码关注腾讯云开发者

领取腾讯云代金券