Nexus Repository 3 目录遍历与文件读取漏洞

• 漏洞编号：CVE-2024-4956
• 漏洞类型：目录遍历
• 漏洞等级：高危
• 发布时间：2024-05-17

漏洞描述：

Sonatype Nexus Repository 是一个开源的仓库管理系统，在安装、配置、使用简单的基础上提供了更加丰富的功能。2024年5月，Sonatype官方发布安全公告，披露了 CVE-2024-4956 Nexus Repository 3 目录遍历与文件读取漏洞。攻击者可在无需登陆的情况下构造恶意请求读取遍历系统上的文件。

修复建议

将组件 Nexus Repository 升级至 3.68.1 及以上版本
参考链接:
https://support.sonatype.com/hc/en-us/articles/29416509323923