记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞风险通告

2020-10-17 12:16

1
漏洞描述


在apache-shiro中发现CVE-2020-13933,影响了NexusRepository Manager 2和3。未经身份验证的用户可以提交特制的HTTP请求,这可能会导致身份验证绕过

 

Apache Shiro是美国Apache软件基金会的一套用于执行身份验证、授权、密码和会话管理的Java安全框架。


2
漏洞编号


CVE-2020-13933


3漏洞等级


高危


4
受影响的版本






Nexus Repository Manager 2 <= 2.14.18

Nexus Repository Manager 3 <= 3.26.1


5
安全版本


Nexus Repository Manager 2 >= 2.14.19

Nexus Repository Manager 3 >=3.27.0


腾讯安全专家建议受影响的用户尽快升级到安全版本。


6
腾讯安全网络空间测绘


腾讯安全网络空间测绘结果显示,Nexus RepositoryManager组件在全球有广泛的应用,中国、美国、德国分别位居前三位(占比70%)。国内主要分布在浙江、广东、北京、上海等省市(占比超过70%)。


腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系es@tencent.com 了解产品详情。


7
漏洞修复


建议受影响的用户将NexusRepository Manager 3的所有实例升级到 3.27.0或更高版本,将Nexus Repository Manager2的所有实例升级到2.14.19或更高版本。

 

可以从以下位置下载最新版本:

NexusRepository Manager 2下载

https://help.sonatype.com/repomanager2/download

 

NexusRepository Manager 3下载

https://help.sonatype.com/repomanager3/download


8
腾讯安全解决方案


腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-16之后的版本,已支持对NexusRepository Manger 2 & 3-Shiro身份验证绕过漏洞(漏洞编号:CVE-2020-13933)进行检测。


关于腾讯T-Sec主机安全(云镜)的更多信息,可长按识别以下二维码查阅。


参考链接

https://support.sonatype.com/hc/en-us/articles/360053556313-CVE-2020-13933-Nexus-Repository-Manger-2-3-Shiro-Authentication-Bypass



插播一条招聘广告(长期)

腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到huntchen@tencent.com,诚邀加盟!


知识来源: https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247496352&idx=2&sn=be6237f2652f53478cab514d76eb0964&chksm=ec9f2bd3dbe8a2c54edd8642a98c397b1098072a1f0cf4e420651df3f2941e5c291551662de4&scene=27&k

阅读:7524 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“Nexus Repository Manger 2 & 3-Shiro身份验证绕过漏洞风险通告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词