PT-2024-37131 · Sonatype · Sonatype Nexus Repository+1
Publicado
2024-10-23
·
Atualizado
2025-11-06
·
CVE-2024-5764
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas:
Sonatype Nexus Repository, versões 3.0.0 a 3.72.0
Descrição:
Foi descoberta uma vulnerabilidade relacionada ao uso de credenciais codificadas no código responsável pela criptografia de segredos armazenados no banco de dados de configuração do Nexus Repository, tais como credenciais de proxy SMTP ou HTTP e tokens de usuário. As versões afetadas dependiam de uma senha de criptografia estática e codificada, que só podia ser alterada na primeira inicialização e não era atualizável.
Recomendações:
Para as versões 3.0.0 a 3.72.0 do Sonatype Nexus Repository, atualize a senha de criptografia o mais rápido possível para evitar exploração. Como solução temporária, considere restringir o acesso a áreas confidenciais do banco de dados de configuração do Nexus Repository até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nexus Repository Manager
Sonatype Nexus Repository