高危 Nexus Repository 3 目录遍历与文件读取漏洞(CVE-2024-4956)

CVE编号

CVE-2024-4956

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-05-17
漏洞描述
Sonatype Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。2024年5月,Sonatype官方发布安全公告,披露了 CVE-2024-4956 Nexus Repository 3 目录遍历与文件读取漏洞。攻击者可在无需登陆的情况下构造恶意请求读取遍历系统上的文件。
解决建议
将组件 Nexus Repository 升级至 3.68.1 及以上版本
参考链接
https://support.sonatype.com/hc/en-us/articles/29416509323923
阿里云评分
7.0
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
阿里云安全产品覆盖情况