Описание
Уязвимость менеджера репозиториев Sonatype Nexus Repository Manager связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки путем публикации артефактов Maven
Вендор
Sonatype Inc.
Наименование ПО
Nexus Repository Manager
Версия ПО
до 2.15.1 включительно (Nexus Repository Manager)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 4.0 составляет 5,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://support.sonatype.com/hc/en-us/articles/30693989411987-CVE-2024-5083-Nexus-Repository-2-Stored-XSS-Vulnerability
https://help.sonatype.com/ru/download-nexus-2.html
Компенсирующие меры:
В случае невозможности установки обновления рекомендуется использовать слеудующую конфигурацию:
events {
}
http {
proxy_send_timeout 120;
proxy_read_timeout 300;
proxy_buffering off;
keepalive_timeout 5 5;
tcp_nodelay on;
client_max_body_size 1G;
map $uri $is_content {
~*/content/ 1;
default 0;
}
map $upstream_http_content_security_policy:$is_content $csp {
":1" "sandbox allow-forms allow-modals allow-popups allow-presentation allow-top-navigation allow-scripts";
default $upstream_http_content_security_policy;
}
server {
listen *:80;
location / {
proxy_pass http://nexus-repository:8081/;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Host $server_name;
proxy_set_header X-Forwarded-Proto $scheme;
add_header Content-Security-Policy $csp;
}
}
}
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 53%
0.00299
Низкий
5.4 Medium
CVSS3
5.5 Medium
CVSS2
Связанные уязвимости
nvd
около 1 года назад
A stored Cross-site Scripting vulnerability has been discovered in Sonatype Nexus Repository 2 This issue affects Nexus Repository 2 OSS/Pro versions up to and including 2.15.1.
CVSS3: 4.6
github
около 1 года назад
A stored Cross-site Scripting vulnerability has been discovered in Sonatype Nexus Repository 2 This issue affects Nexus Repository 2 OSS/Pro versions up to and including 2.15.1.
EPSS
Процентиль: 53%
0.00299
Низкий
5.4 Medium
CVSS3
5.5 Medium
CVSS2