CVE20200601(cve漏洞编号)

报告编号： B6-2020-100901

报告来源： 360厘米

报告员： 360CERT

更新日期： 2020-10-09

0x01 漏洞简述 2020年10月09日，通过360CERT监测，Nexus存储库管理器2的Nexus存储库管理器2目录为CVE-2020-15012，漏洞级别：哈哈

远程攻击者创建特殊请求可能会导致目录遍历和敏感数据文件的泄露。

相反，360CERT建议许多用户将nexus repository manager 2升级到最新版本。 同时，请进行资产的自我调查和预防，以免受到黑客攻击。

0x02 风险等级 360CERT对该脆弱性的评价结果如下

0x03 漏洞详情CVE-2020-15012: 目录穿越漏洞 Nexus repository是一个开源仓库管理系统，不仅安装、配置和使用方便，还提供了更多功能。

Nexus Repository Manager 2中存在目录扫描漏洞，攻击者通过创建特定请求，可能会导致目录扫描和机密数据文件的泄漏。

0x04 影响版本 sonatype : nexusrepositorymanager 2:=2. 14.18

下载0x05 修复建议通用修补建议 nexusrepositorymanager2: https://帮助. sonatype.com /还原管理器2 /下载的最新版本

0x06 相关空间测绘数据 360安全大脑-Quake网络空间映射系统通过映射全网络资产，发现Nexus Repository Manager 2在全世界广泛使用，具体分布如下图。

0x07 产品侧解决方案 360城市级网络安全监测服务 360安全大脑的QUAKE资产映射平台通过资产映射技术手段，监控此类漏洞，请用户联系相关产品区域负责人或(quake#360.cn )获取对应产品

0x08 时间线 2020-10-08 sonatype官方发布通告

2020-10-09 360CERT发布通知

欢迎安全客户-加入有思想的安全新媒体www.anquanke.com/交流小组113129131获取最新信息

原文链接： 3359 www.anquan ke.com/post/id/219133