Nexus Repository Manager 3 XML外部实体注入漏洞风险通告

　　2020年12月16日，Sonatype官方发布了 Nexus Repository Manager 3命令注入漏洞风险通告(漏洞编号CVE-2020-29436)。攻击者可通过构造特定的XML请求，造成XML外部实体注入。

　　为避免您的业务受影响，建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

　　漏洞详情

　　Nexus Repository是一个开源的仓库管理系统，在安装、配置、使用简单的基础上提供了更加丰富的功能。

　　据官方描述，Nexus Repository Manager 3中存在的XML外部实体注入( XXE )漏洞。拥有管理员权限的攻击者通过构造特定的XML请求,可造成XML外部实体注入，从而能够利用该漏洞配置系统，或查看文件系统上的文件，获取敏感信息等。

　　风险等级

　　高

　　漏洞风险

　　攻击者可利用该漏洞，配置系统，查看服务器上敏感信息

　　影响版本

　　Nexus Repository Manager 3 <= 3.28.1

　　安全版本

　　Nexus Repository Manager 3.29.0及以上

　　修复建议

　　Sonatype官方已发布安全版本，建议您尽快升级到最新版本，避免相关安全风险。

　　下载链接：https://help.sonatype.com/repomanager3/download

　　建议您在升级前做好数据备份工作，避免出现意外

　　漏洞参考

　　https://support.sonatype.com/hc/en-us/articles/1500000415082-CVE-2020-29436-Nexus-Repository-Manager-3-XML-External-Entities-injection-2020-12-15