近日，金山云安全应急响应中心监测到Sonatype官方通告了一个Nexus Respository Manager 2&3验证绕过漏洞，该漏洞风险等级为高危。

请广大用户高度关注并及时将Nexus Respository Manager 2&3 升级到安全版本，避免遭受损失。

漏洞描述

Nexus Respository 是一个开源的仓库管理系统，因安装、配置、使用简单且功能丰富被广泛使用。

Nexus Respository Manager 2&3版本中使用了旧版本的Shiro组件，且受到了Apache Shiro权限绕过漏洞（CVE-2020-13933）的影响。攻击者利用该权限绕过漏洞访问到后台功能，并可能导致命令执行。

风险等级

高危

影响版本

-Nexus Respository Manager 2：<2.14.19

-Nexus Respository Manager 3：<3.27.0

修复建议

1. 将Nexus Respository Manager 2升级到2.14.19或更高版本；

https://help.sonatype.com/repomanager2/download

2. 将Nexus Respository Manager 3升级到3.27.0或更高版本；

https://help.sonatype.com/repomanager3/download

参考链接

[1]https://support.sonatype.com/hc/en-us/articles/360053556313-CVE-2020-13933-Nexus-Repository-Manger-2-3-Shiro-Authentication-Bypass

北京金山云网络技术有限公司

2020/10/16