[TLP:CLEAR] Sonatype Nexus Repository opravuje 2 zranitelnosti
Sonatype verzí 3.88.0 opravuje dvě zranitelnosti v produktu Nexus Repository 3 [1][2].
Autentizovanému vzdálenému útočníkovi s administrátorskými oprávněními je prostřednictvím škodlivě nastavené vzdálené URL úložiště u proxy repozitáře umožněno vykonat útok SSRF a přimět server k odesílání požadavků na nezamýšlené síťové cíle (interní sítě/cloudová metadata) [1].
Zranitelnost se nachází v produktu Sonatype Nexus Repository ve verzích >=3.0.0 AND <3.88.0.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:L/SA:N
Více informací:
- CVE-2026-0600 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 1. 2026.
Neautentizovanému vzdálenému útočníkovi je prostřednictvím zranitelnosti typu reflected XSS umožněno spustit v prohlížeči oběti libovolný JavaScript a následně provádět akce jménem oběti, včetně eskalace oprávnění a neautorizovaných změn konfigurace [2].
Zranitelnost se nachází v produktu Sonatype Nexus Repository ve verzích >=3.82.0 AND <=3.87.1.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
Více informací:
- CVE-2026-0601 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 1. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 22. 1. 2026.
