Уязвимость BDU:2024-10899

Идентификатор: BDU:2024-10899.
Наименование уязвимости: Уязвимость менеджера репозиториев Sonatype Nexus Repository Manager, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость менеджера репозиториев Sonatype Nexus Repository Manager связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем публикации артефактов Maven
Уязвимое ПО: Прикладное ПО информационных систем Sonatype Inc. Nexus Repository Manager до 2.15.1 включительно |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 17.05.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:P/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 4.0 составляет 7,1)
Возможные меры по устранению:
Использование рекомендаций:
https://support.sonatype.com/hc/en-us/articles/30694125380755-CVE-2024-5082-Nexus-Repository-2-Remote-Code-Execution
https://help.sonatype.com/ru/download-nexus-2.html
Компенсирующие меры:
В случае невозможности установки обновления рекомендуется настроить политику WAF (более подробная информация описана в бюллетене):
https://support.sonatype.com/hc/en-us/articles/30694125380755-CVE-2024-5082-Nexus-Repository-2-Remote-Code-Execution.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-5082.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://support.sonatype.com/hc/en-us/articles/30694125380755-CVE-2024-5082-Nexus-Repository-2-Remote-Code-Execution
https://help.sonatype.com/ru/download-nexus-2.html
https://vuldb.com/?id.284512
https://cybersecuritynews.com/sonatype-nexus-repository-manager/



