【已复现】Nexus Repository 3 路径穿越漏洞（CVE-2024-4956）

文章预览

Nexus Repository 3是一款仓库管理系统，用于存储、组织和分发软件构件。它支持多种包格式，如Maven、npm和Docker，帮助开发者集中管理依赖和提高构建效率。 2024年5月，Nexus Repository官方Sonatype发布了新补丁，修复了一处路径穿越漏洞CVE-2024-4956。经分析，该漏洞可以通过特定的路径请求来未授权访问系统文件，进而可能导致信息泄露。该漏洞无前置条件且利用简单，建议受影响的客户尽快修复漏洞。 漏洞描述   Description   0 1 漏洞成因 Nexus Repository仅依赖Jetty自带的方法进行请求路径的安全检查，而未进行深入的验证，导致攻击者可以利用路径穿越攻击访问文件系统上的任意位置。 漏洞影响 成功利用这一漏洞的攻击者可以读取Nexus Repository服务器上的任意文件，这可能包括配置文件、数据库备份以及其他敏感数据。此外，特定情况下如果攻击者能够进一 ………………………………