漏洞情報 | Nexus Repository 3 跨站腳本漏洞

0x01 漏洞描述

Sonatype Nexus Repository是美國Sonatype公司的一款倉庫管理器，它主要用于管理、存儲和分發軟件等。

360漏洞云監測到Nexus Repository 3 存在跨站腳本漏洞（CVE-2021-37152）。經身份認證的、能夠添加HTML文件到倉庫的攻擊者可重定向用戶到代碼改動過的Nexus Repository頁面，從而執行任意JavaScript代碼。

0x02 危害等級

中危：6.8

0x03 影響版本

Nexus Repository <=3.32.0

0x04 修復版本

Nexus Repository OSS/Pro 3.33.0

0x05 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本。