More than 5 years have passed since last update.

[漏洞预警]CVE-2019-15588/Nexus Repository Manager Yum插件远程命令执行

Last updated at 2019-11-04Posted at 2019-11-04

近日安全研究人员badcode披露了Nexus Repository Manager <= 2.14.14存在远程代码执行漏洞.漏洞存在于其内置的Nexus Yum存储库插件.该漏洞为CVE-2019-5475的绕过且需要具有部署权限的账号,登录后方可触发.

CVE-2019-15588

高危

Nexus Repository Manager OSS <= 2.14.14
Nexus Repository Manager Pro <= 2.14.14

使用payload进行任意命令执行

该漏洞成因为org.sonatype.nexus.yum.internal.task.CommandLineExecutor中的getCleanCommand方法未做过滤

[0] 2019年9月5日 badcode提交该漏洞
[1] 2019年11月1日 NVD发布该漏洞
[2] 2019年11月4日亚信安全网络攻防实验室发布预警公告