Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)

其他 2021-03-30 01:14:07 阅读次数: 0

Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)

前言

Nexus Repository Manager 3 是一款软件仓库，可以用来存储和分发Maven、NuGET等软件源仓库。其3.14.0及之前版本中，存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能，而这处功能存在未授权访问漏洞，将可以导致任意命令执行漏洞。

影响版本

Nexus Repository Manager OSS/Pro 3.6.2版本-3.14.0版本

漏洞复现

未授权登录
在这里插入图片描述

使用脚本https://github.com/mpgn/CVE-2019-7238
更改脚本被攻击主机url
在这里插入图片描述
运行脚本反弹shell

监听

猜你喜欢

转载自blog.csdn.net/weixin_44146996/article/details/114022358

Nexus Repository Manager 3 远程命令执行漏洞（CVE-2019-7238）

Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)

Nexus Repository Manager 3(CVE-2019-7238) 远程代码执行漏洞分析和复现

Nexus Repository Manager 3 RCE CVE-2019-7238

Nexus Repository Manager 3 远程命令执行漏洞（CVE-2020-10199）

Nexus Repository Manager 3 远程命令执行漏洞（CVE-2020-10199）复现

[CVE-2020-10199/10204] Nexus Repository Manager 3 RCE

Nexus Repository Manager的应用

CVE-2019-5475：Nexus Repository Manager 2 - 操作系统命令注入漏洞警报

vulhub漏洞复现-Nexus(CVE-2019-7238)远程代码执行漏洞

Nexus Repository Manager OSS 3.x 安装配置

使用 Nexus3 Repository Manager 搭建 npm 私服

Nexus Repository Manager的应用【转载】

解决Nexus Repository Manager（Nexus3.X ）历史占用较大空间问题

威胁快报|Nexus Repository Manager 3新漏洞已被用于挖矿木马传播，建议用户尽快修复

使用 Nexus Repository Manager 搭建 npm 私服

OSCP-BillyBoss（Sonar Nexus Repository manager）

第04章 CentOS7 中 Sonatype Nexus Repository Manager3 的安装与配置

使用 Nexus Repository Manager 搭建私有docker仓库

Maven私服（Repository Manager） - Nexus安装和使用（详细过程）

Nexus Repository Manager 搭建私有docker仓库

Sonatype Nexus Repository Manager修改密码不成功

Sonatype Nexus Repository Manager清除无用的docker镜像

Linux Nexus Repository Manager OSS 3.18.1-01 搭建指南

Nexus Repository

[转] 使用HTTPS在Nexus Repository Manager 3.0上搭建私有Docker仓库

本地使用nexus3.18.1 repository manager搭建maven私服及使用

npm install 提示Unable to authenticate, need: BASIC realm=“Sonatype Nexus Repository Manager“

npm install安装失败Unable to authenticate, need: BASIC realm=“Sonatype Nexus Repository Manager“

Unable to authenticate, need: BASIC realm=“Sonatype Nexus Repository Manager“ 问题解决

今日推荐

基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个！

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

报告：Django 仍然是 74% 开发者的首选

《2024 年一季度互联网投融资运行情况》研究报告

15 年前上了“FFmpeg 耻辱柱”，今天他还得谢谢咱——腾讯QQPlayer一雪前耻？

TIOBE 5 月榜单：Fortran “复活”进入 Top 10

周排行

BPM为企业带来的实际利益

好程序员web前端分享css常用属性缩写

Java文件下载（excel）

css样式的动态添加及显示和隐藏等零碎用法

axios全局配置以及拦截器

使用Logstash来实时同步MySQL和log日志数据到ES

C++获取当前时间（年月日、时分秒、毫秒）

Odoo产品分析 (四) -- 工具板块(11) -- 网站即时聊天(1)

Java环境配置正确，但是java、javac、java -version均返回“不是内部或外部命令，也不是可运行的程序或批处理文件”？

01 官网下载各种CentOS教程（超详细版）

每日归档

更多

2024-05-14(0)

2024-05-13(18)

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)

2024-05-05(0)