Nexus 是一个强大的 Maven 仓库管理器，它极大地简化了自己内部仓库的维护和外部仓库的访问。

2024年5月20日，深瞳漏洞实验室监测到一则Sonatype-Nexus组件存在任意文件下载漏洞的信息，漏洞编号：CVE-2024-4956，漏洞威胁等级：高危。

受影响版本的Sonatype Nexus Repository3 存在路径遍历漏洞，攻击者可以利用该漏洞下载任意文件，导致信息泄露。

目前受影响的Sonatype-Nexus版本：

Sonatype Nexus < 3.68.1

在Nexus的web界面上依次点击右上角的问号和About，即可查看Nexus的当前版本。

编辑(basedir)/etc/jetty/jetty.xml 并从文件中删除这一行：

<Set name="resourceBase"><Property name="karaf.base"/>/public</Set>

重新启动 Nexus 存储库以使更改生效。

注意：该修改会使(installdir)/public下的静态文件加载失效，导致轻微的UI渲染问题，但不影响Nexus的正常功能。

更新Nexus到最新版本以免受该漏洞的影响，链接：

https://www.sonatype.com/products/sonatype-nexus-oss-download

风险资产发现

支持对Sonatype-Nexus的主动检测，可批量检出业务场景中该事件的受影响资产情况，相关产品如下：

【深信服云镜YJ】预计2024年 5月 21 日发布资产检测方案。

https://support.sonatype.com/hc/en-us/articles/29416509323923-CVE-2024-4956-Nexus-Repository-3-Path-Traversal-2024-05-16

深瞳漏洞实验室监测到Sonatype Nexus Repository3 任意文件下载漏洞信息。

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。