-赛博昆仑漏洞安全通告-

Nexus Repository3 任意文件下载漏洞的风险通告 

漏洞描述

近日，赛博昆仑CERT监测到 Sonatype Nexus Repository3 任意文件下载漏洞（CVE-2024-4956）的漏洞情报。Sonateype Nexus Repository 3中的路径遍历漏洞允许未经身份验证的攻击者读取远程操作系统上的任意文件。

Nexus是一个强大且使用广泛的Maven仓库管理器，它极大地简化了自己内部仓库的维护和外部仓库的访问，利用Nexus你可以只在一个地方就能够完全控制访问和部署在你所维护仓库中的每个Artifact。

目前赛博昆仑CERT已确认漏洞原理，复现环境为官方的Docker sonatype/nexus3:3.68.0-java8，读取 /etc/passwd 作为证明：

【临时缓解措施】：

1.对于Sonateype Nexus Repository的每个实例，编辑（basedir）/etc/jetty/jetty.xml 并从文件中删除这一行：

  <Set name="resourceBase"><Property name="karaf.base"/>/public</Set>

2.重新启动Nexus存储库，使更改生效。

此更改可防止利用该漏洞，但也会防止应用程序从（installdir）/public目录加载文件，可能会导致轻微的UI渲染问题，而不会影响核心产品功能。

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务，付费客户(可申请试用)将获取更多技术详情，并支持适配客户的需求。

https://support.sonatype.com/hc/en-us/articles/29416509323923-CVE-2024-4956-Nexus-Repository-3-Path-Traversal-2024-05-16

2024年05月16日，官方发布通告

2024年05月22日，赛博昆仑CERT公众号发布漏洞风险通告