Nexus Repository 3 目录遍历与文件读取漏洞 (CVE-2024-4956) - 北京赛克艾威科技有限公司

Nexus Repository 3 目录遍历与文件读取漏洞 (CVE-2024-4956)

北京赛克艾威科技有限公司 2024-05-22

漏洞编号：CVE-2024-4956
漏洞类型：代码执行
漏洞等级：严重
发布时间：2024-05-22

漏洞描述

近日，赛克艾威网络安全实验室监测到Nexus Repository 3 目录遍历与文件读取漏洞情报。2024年5月，Sonatype官方发布安全公告，披露了 CVE-2024-4956 Nexus Repository 3 目录遍历与文件读取漏洞。

漏洞危害

攻击者可在无需登陆的情况下构造恶意请求读取遍历系统上的文件。

修复建议

将组件 Nexus Repository 升级至 3.68.1 及以上版本