[TLP:CLEAR] Sonatype Nexus Repository opravuje 2 zranitelnosti
Sonatype verzí 2.15.2 opravuje dvě zranitelnosti v produktu Nexus Repository 2 [1][2].
Autentizovanému vzdálenému útočníkovi je pomocí speciálně vytvořeného Maven artefaktu umožněno vykonat vzdálené spuštění kódu [1].
Zranitelnost se nachází v produktu Sonatype Nexus Repository ve verzích >=2.0 AND <2.15.2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2024-5082 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 11. 2024.
Autentizovanému vzdálenému útočníkovi je umožněno spustit XSS útok při zobrazení obsahu škodlivého Maven artefaktu správcem v prohlížeči [2].
Zranitelnost se nachází v produktu Sonatype Nexus Repository ve verzích >=2.0 AND <2.15.2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
Více informací:
- CVE-2024-5083 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 11. 2024.
Odkazy
Publikovala Michaela Jarošová dne 19. 11. 2024.
