Nexus Repository 漏洞列表

漏洞触发需要任意账户权限 body="Nexus Repository Manager" app="Nexus-Repository-Manager"

fofa: title="Nexus"

Sonatype Nexus Repository Manager before 3.15.0 is susceptible to remote code execution.

Sonatype Nexus Repository before 3.21.2 allows JavaEL Injection

Path Traversal in Sonatype Nexus Repository 3 allows an unauthenticated attacker to read system files. Fixed in version 3.68.1.

A Remote Code Execution vulnerability has been discovered in Sonatype Nexus Repository 2.This issue affects Nexus Repository 2 OSS/Pro versions up to and including 2.15.1.

Nexus Repository Manager 存在远程命令执行漏洞。

Sonatype Nexus Repository 3 存在目录遍历漏洞，此漏洞是由于程序未充分验证用户输入的url所导致的。

Nexus Repository Manager是一个强大的仓库管理器，该系统存在未授权目录穿越漏洞，攻击者可以读取服务器文件。

Nexus全称是Nexus Repository Manager，是Sonatype公司的一个产品。它是目前世界上最流行的仓库管理软件，拥有强大的仓库管理器，极大地简化了内部仓库的维护和外部仓库的访问。Sonatype Nexus Repository 3.0.0 - 3.68.0版本中存在路径遍历漏洞，未经身份验证的威胁者可构造../../../../这样的恶意URL下载目标系统上的任意文件，包括Nexus Repository 应用程序范围之外的系统文件，成功利用该漏洞可能导致应用程序源代码、配置和关键系统文件等敏感信息泄露。

Sonatype Nexus Repository Manager中报告了一个存储的跨站点脚本漏洞。该漏洞是由于Java类ContentSelectorsApiResource中的输入验证不足所致。

3.14.0及之前版本该系统存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能，而这处功能存在未授权访问漏洞，远程攻击者可通过特制的参数利用此漏洞执行任意代码。

【漏洞对象】Nexus-Repository-Manager代码仓库管理系统 【漏洞描述】Nexus-Repository-Manager代码仓库管理系统存在默认口令，攻击者可利用默认口令非法登陆代码仓库，修改系统配置，泄露系统敏感信息，并进行上传下载等操作，可通过对公共库的篡改，甚至植入后门。