Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。

2019年9月6日,阿里云应急响应中心监测到Nexus Repository Manager 2.x版本存在远程命令执行漏洞,Nexus Repository Manager 2.x Capabilities可通过401认证登录,且可通过默认账号密码admin:admin123登录,登录成功后使用createrepomergerepo配置可实现远程系统命令注入。攻击者利用该漏洞可远程执行任意服务器命令,危害较大。

漏洞影响范围:Nexus Repository Manager OSS/Pro version 2.14.14以下版本

漏洞危险等级:高危

规则防护:云防火墙虚拟补丁已支持防护

规则类型:命令执行

安全建议:升级Nexus Repository Manager 2.x至最新版本2.14.14。