СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
17.05.2024
#Dev#ИБ

Уязвимость BDU:2024-10898

Уязвимость BDU:2024-10898

Идентификатор: BDU:2024-10898.

Наименование уязвимости: Уязвимость менеджера репозиториев Sonatype Nexus Repository Manager, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки.

Описание уязвимости: Уязвимость менеджера репозиториев Sonatype Nexus Repository Manager связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки путем публикации артефактов Maven
Уязвимое ПО: Прикладное ПО информационных систем Sonatype Inc. Nexus Repository Manager до 2.15.1 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 17.05.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 4.0 составляет 5,1)

Возможные меры по устранению:
Использование рекомендаций:
https://support.sonatype.com/hc/en-us/articles/30693989411987-CVE-2024-5083-Nexus-Repository-2-Stored-XSS-Vulnerability
https://help.sonatype.com/ru/download-nexus-2.html

Компенсирующие меры:
В случае невозможности установки обновления рекомендуется использовать слеудующую конфигурацию:
events {

}

http {
proxy_send_timeout 120;
proxy_read_timeout 300;
proxy_buffering off;
keepalive_timeout 5 5;
tcp_nodelay on;

client_max_body_size 1G;

map $uri $is_content {
~*/content/ 1;
default 0;
}

map $upstream_http_content_security_policy:$is_content $csp {
":1" "sandbox allow-forms allow-modals allow-popups allow-presentation allow-top-navigation allow-scripts";
default $upstream_http_content_security_policy;
}

server {
listen *:80;

location / {
proxy_pass http://nexus-repository:8081/;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Host $server_name;
proxy_set_header X-Forwarded-Proto $scheme;

add_header Content-Security-Policy $csp;
}
}
}.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-5083.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://support.sonatype.com/hc/en-us/articles/30693989411987-CVE-2024-5083-Nexus-Repository-2-Stored-XSS-Vulnerability
https://vuldb.com/?id.284517
https://cybersecuritynews.com/sonatype-nexus-repository-manager/
https://help.sonatype.com/ru/download-nexus-2.html

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: