2020年7月29日，Sonatype官方更新发布了Nexus Repository Manager 3 OSS/Pro 3.25.0或更低版本中存在远程代码执行漏洞和跨站脚本漏洞的安全公告，对应CVE编号：CVE-2020-15871、CVE-2020-15870、CVE-2020-15869，相关链接：

https://support.sonatype.com/hc/en-us/articles/360052192693-CVE-2020-15871-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-07-29

Nexus Repository Manager 3.25.0之前版本存在远程代码执行漏洞，恶意攻击者可以利用该漏洞主动或诱使具有正确权限的Nexus Repository Manager 3用户执行任意代码。

Nexus历史漏洞列表请参考：

https://support.sonatype.com/hc/en-us/sections/203012668-Security-Advisories

影响范围：

Nexus Repository Manager 3远程代码执行漏洞（CVE-2020-15871）影响以下版本：

Nexus Repository Manager 3 OSS/Pro 3.25.0或更低版本，建议升级到3.25.1或更高版本；

官方下载地址：

https://help.sonatype.com/repomanager3/download

漏洞描述：

根据分析，Nexus Repository Manager 3.25.0之前版本存在的远程代码执行漏洞具有一定利用前置条件，恶意攻击者要利用该漏洞需要适当权限或诱使具有正确权限的Nexus Repository Manager 3用户权限，此次漏洞公告中另外的跨站脚本漏洞正好可以组合利用，实时钓鱼攻击效果（该漏洞由Dbappsecurity安全研究员报告，已验证其可利用性）。

缓解措施：

建议及时测试并更新到漏洞修复的版本（3.25.1或更高版本），或部署必要的安全防护设备拦截恶意攻击代码。