CVE-2019-7238

CVSS 9.8 CRITICALEPSS 76.5%● KEV

Em resumo

O Sonatype Nexus Repository Manager em versões anteriores à 3.15.0 possui uma falha que permite que usuários não autorizados acessem ou modifiquem conteúdo de repositórios que deveriam estar protegidos. Isto é crítico porque repositórios frequentemente contêm componentes de software sensíveis.

Detalhe técnico

A vulnerabilidade resulta de controle de acesso inadequadamente implementado no Nexus Repository Manager anterior à versão 3.15.0, permitindo que atacantes não autenticados ou com poucos privilégios contornem verificações de permissão e acessem repositórios protegidos. O ataque requer apenas acesso à rede da instância Nexus sem pré-condições especiais, resultando em acesso não autorizado de leitura/escrita aos dados do repositório.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Sonatype Nexus Repository Manager before 3.15.0 has Incorrect Access Control.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

n/a · n/a

PoCs públicas encontradas — 6

githubgithub.com/mpgn/CVE-2019-7238★ 153 githubgithub.com/jas502n/CVE-2019-7238★ 85 githubgithub.com/verctor/nexus_rce_CVE-2019-7238★ 39 githubgithub.com/magicming200/CVE-2019-7238_Nexus_RCE_Tool★ 24 githubgithub.com/DannyRavi/nmap-scripts★ 2 githubgithub.com/smallpiggy/CVE-2019-7238★ 1

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-7238