【漏洞描述】
Sonatype Security Team官方发布了一则关于Nexus Repository Manager 3.x产品的远程代码执行漏洞通告。

Sonatype Nexus Repository Manager 3 OSS / Pro 3.25.1之前的版本存在远程代码执行漏洞，具有适当权限的攻击者可利用该漏洞运行任意代码。腾讯安全专家建议相关企业尽快修复漏洞，腾讯T-Sec主机安全（腾讯云镜）已支持检测该漏洞风险。

Sonatype Nexus Repository Manager（NXRM）是美国Sonatype公司的一个存储库管理器，它主要用于管理，存储和分发软件等。

【漏洞编号】CVE-2020-15871

【漏洞等级】严重

【影响版本】
Nexus Repository Manager 3 OSS < 3.25.1
Nexus Repository Manager 3 Pro < 3.25.1

【安全版本】
Nexus Repository Manager OSS/Pro >= 3.25.1

【网络空间测绘】
腾讯安全网络空间测绘数据显示，该组件在中国有十分广泛的应用，浙江、广东、北京位居前三。

【修复建议】
目前官方已发布漏洞修复版本。
下载地址：
https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29

腾讯安全专家建议修复漏洞前做好备份及测试工作，以防意外发生。

【腾讯安全解决方案】
腾讯T-Sec主机安全（云镜）产品已支持检测云主机系统是否受CVE-2020-15871​漏洞的影响。

腾讯T-Sec主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

【参考链接】
https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29

附：Sonatype官方同时发布了Sonatype Nexus Repository Manager的两个XSS漏洞通告，并在3.25.1中修复。

Sonatype Nexus Repository Manager 跨站脚本漏洞（CVE-2020-15869/CVE-2020-15870）

Sonatype NXRM 3.25.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证，攻击者可利用该漏洞执行客户端代码。

参考链接：
https://support.sonatype.com/hc/zh-CN/articles/360051424554
https://support.sonatype.com/hc/en-us/articles/360051424754

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课