Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。
2019年9月6日,阿里云应急响应中心监测到Nexus Repository Manager 2.x版本存在远程命令执行漏洞,Nexus Repository Manager 2.x Capabilities可通过401认证登录,且可通过默认账号密码admin:admin123登录,登录成功后使用createrepo或mergerepo配置可实现远程系统命令注入。攻击者利用该漏洞可远程执行任意服务器命令,危害较大。
漏洞影响范围:Nexus Repository Manager OSS/Pro version 2.14.14以下版本
漏洞危险等级:高危
规则防护:云防火墙虚拟补丁已支持防护
规则类型:命令执行
安全建议:升级Nexus Repository Manager 2.x至最新版本2.14.14。