Nexus Repository Manager 2.x 远程命令执行漏洞(CVE-2019-5475)

转载 阿里云应急响应中心    2019-09-08 15:33:52  26 人阅读  0 条评论

2019 年 9 月 6 日,阿里云应急响应中心监测到 Nexus Repository Manager 2.x 版本存在远程命令执行漏洞,攻击者利用漏洞可远程执行任意服务器命令,危害较大。

漏洞描述

某国外漏洞平台披露 Nexus Repository Manager 2.x 存在远程命令执行漏洞,Nexus Repository Manager 2.x Capabilities 通过 401 认证登陆,且存在默认账号密码 admin:admin123 可登陆,成功登陆后使用 createrepo 或 mergerepo 配置可实现远程系统命令注入。阿里云应急响应中心提醒 Nexus Repository Manager 2.x 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

CVE-2019-5475 严重

影响版本

Nexus Repository Manager OSS/Pro version < 2.14.14

安全建议

升级到 Nexus Repository Manager 2.x 至最新版本 2.14.14

官方公告链接

CVE-2019-5475 Nexus Repository Manager 2 - OS Command Injection - 2019-08-09

云盾漏洞扫描已支持对该漏洞检测

云盾云安全中心应急漏洞模块已支持对该漏洞一键检测

云盾 WAF已可防御此漏洞攻击

好消息:阿里云910会员节火热进行中,多款云服务器等云产品满减等多重优惠!同时,阿里云新老用户均可参与2019Hi拼团优惠活动,T5云服务器1核1G低至190元/年,528元/3年!更多服务器配置及价格请关注:Hi拼团,或点此了解“云上爆款3折特惠活动”,或点此上“阿里云应用中心”了解建站、小程序、商标、工商财税、OA等多款热门产品。同时,建议在购买阿里云相关产品前先领取阿里云2000元代金券会更优惠哦。更多关于阿里云的文章请移步『阿里云专题

您可能感兴趣的文章

文章标签:
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为转载文章,来源于 阿里云应急响应中心 ,版权归原作者所有!转载此文是出于传递更多信息之目的,若有来源标注错误或侵犯了您的合法权益,请与老古(QQ:2226524923)联系,老古将及时更正、删除,谢谢!
©boke112联盟,本站推荐使用:阿里云 ECS服务器等云产品服务,国外免备案主机建议使用:老薛主机
转载砖家

 发表评论

大笑表情偷笑表情鼓掌表情思考表情疑问表情抠鼻表情抓狂表情晕表情黑线表情流汗表情流泪表情囧表情衰表情围观表情OK表情牛表情