CVE-2019-7238

CVSS 9.8 CRITICALEPSS 76.5%● KEV

En resumen

Sonatype Nexus Repository Manager en versiones anteriores a 3.15.0 tiene una falla que permite a usuarios no autorizados acceder o modificar contenido de repositorios que deberían estar protegidos. Esto es crítico porque los repositorios frecuentemente contienen componentes de software sensibles.

Detalle técnico

La vulnerabilidad proviene de un control de acceso implementado incorrectamente en Nexus Repository Manager anterior a la versión 3.15.0, permitiendo que atacantes no autenticados o con pocos privilegios eludan las verificaciones de permisos y accedan a repositorios protegidos. El ataque requiere solo acceso a la red de la instancia Nexus sin precondiciones especiales, resultando en acceso no autorizado de lectura/escritura a los datos del repositorio.

Resumen generado y traducido por IA a partir de la descripción oficial.

Sonatype Nexus Repository Manager before 3.15.0 has Incorrect Access Control.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

n/a · n/a

PoCs públicas encontradas — 6

githubgithub.com/mpgn/CVE-2019-7238★ 153 githubgithub.com/jas502n/CVE-2019-7238★ 85 githubgithub.com/verctor/nexus_rce_CVE-2019-7238★ 39 githubgithub.com/magicming200/CVE-2019-7238_Nexus_RCE_Tool★ 24 githubgithub.com/DannyRavi/nmap-scripts★ 2 githubgithub.com/smallpiggy/CVE-2019-7238★ 1

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-7238