[TLP:CLEAR] Sonatype Nexus Repository opravuje 1 zraniteľnosť
Sonatype verziou 3.68.1 opravuje zraniteľnosť CVE-2024-4956 v produkte Nexus Repository 3 [1].
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať path traversal útok, čím môže získať prístup k systémovým súborom [1][2]. Postup k dočasnej oprave je možné nájsť na [3].
Zraniteľnosť sa nachádza v produkte Sonatype Nexus Repository vo verziách >=3.0 AND <3.68.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-4956 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-35: Path Traversal: '.../...//' at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 16. 5. 2024.
Odkazy
- [1] https://support.sonatype.com/hc/en-us/articles/29416509323923-CVE-2024-4956-Nexus-Repository-3-Path-Traversal-2024-05-16
- [2] https://github.com/advisories/GHSA-6cgv-69mq-8w7x
- [3] https://support.sonatype.com/hc/en-us/articles/29412417068819-Mitigations-for-CVE-2024-4956-Nexus-Repository-3-Vulnerability
Publikoval Martin Krajči dňa 29. 5. 2024.
