一、概要

2020年5月11日，华为云监测到业界已爆出Nexus Repository Manager 远程代码执行漏洞（CVE-2020-10199、CVE-2020-10204）POC，其中CVE-2020-10199只需要具有创建Bower组存储库API的调用权限即可通过绕过表达式触发漏洞，安全风险上升。华为云提醒使用Nexus Repository Manager用户及时安排自检并做好安全加固。

2020年4月2日，华为云关注到Sonatype安全团队官方发布Nexus Repository Manager 3 远程代码执行漏洞（CVE-2020-10199、CVE-2020-10204）安全公告。Nexus Repository 是一个开源的仓库管理系统，漏洞使拥有NXRM管理帐户的攻击者可以通过向NXRM发送恶意请求来执行任意代码。

参考链接：

https://support.sonatype.com/hc/en-us/articles/360044882533  

https://support.sonatype.com/hc/en-us/articles/360044356194

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Nexus Repository Manager 3.x OSS / Pro <= 3.21.1

安全版本：

Nexus Repository Manager OSS/Pro version 3.21.2

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

下载地址：https://help.sonatype.com/repomanager3/download/

华为云WAF已具备针对此漏洞的防护能力，只需接入防护并开启阻断模式即可。接入及配置参考链接：https://support.huaweicloud.com/qs-waf/index.html

注：修复漏洞前请将资料备份，并进行充分测试。