Nexus Repository是一个开源的仓库管理系统，在安装、配置、使用简单的基础上提供了更加丰富的功能。它是搭建maven的镜像的工具之一，在全球范围内使用广泛。

0x01 漏洞详情

2020年10月08日，Sonatype发布安全公告，Nexus Repository Manager 2中存在一个目录遍历漏洞，漏洞跟踪为CVE-2020-15012。成功利用此漏洞的攻击者能够执行目录遍历以读取敏感数据文件，并对用户公开任意文件。但要利用此漏洞，攻击者必须具有对Nexus Repository Manager instance的网络访问权限，才能查看配置文件或受保护的内容。

0x02 处置建议

目前官方已发布安全更新，建议将Nexus Repository Manager 2升级到2.14.19最新版本：

下载链接：

https://help.sonatype.com/repomanager2/download

0x03 参考链接

https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15012