【安全通报】Nexus Repository Manager 3 XML外部实体注入漏洞 （CVE-2020-29436）

Sonatype Nexus Repository Manager（NXRM）是美国Sonatype公司的一个开源的仓库管理系统，主要用于管理、存储和分发软件等，在安装、配置、使用简单的基础上提供了更加丰富的功能。

近日，Nexus Repository Manager 3发布了Nexus Repository Manager 3 XML外部实体注入漏洞的风险通告，该漏洞编号为CVE-2020-29436。漏洞等级：高危，漏洞评分：8.7 。在 Nexus Repository Manager 3 中存在XML外部实体注入（ XXE ）漏洞。未授权的远程攻击者通过构造特定的XML请求 ,可造成 XML外部实体注入 。攻击者能够利用该漏洞获取 Nexus Repository Manager 3 的管理员帐户，从而可以配置系统、查看文件系统上的文件。建议相关用户及时将 nexus repository manager 3 升级到最新版本。

CVE 编号

CVE-2020-29436

影响范围

• Nexus Repository Manager 3 <= 3.28.1

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Nexus-Repository-Manager"）共有 28,794 个相关服务对外开放。中国大陆使用数量最多，共有 15,572 个；美国第二，共有 4,633 个；德国第三，共有 2,127 个；爱尔兰第四，共有 956 个；法国第五，共有 934 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 2,522 个；北京第二，共有 1,581 个；广东第三，共有 1,188 个；上海第四，共有 478 个；四川第五，共有 471 个。

修复建议

1. 目前Nexus Repository Manager 3官方已发布安全更新，建议升级到最新版本的Nexus Repository Manager 3下载链接：https://help.sonatype.com/repomanager3/download
2. 如果目前无法升级，若业务环境允许，使用白名单限制访问来降低风险。

参考

[1] https://weixin.shuziguanxing.com/selectDetailsTempateId/680

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。