Nexus Repository Manager

Die Schwachstelle betrifft den Nexus Repository Manager von Sonatype, eine Server-Software zur zentralen Verwaltung und Bereitstellung von Software-Komponenten und Build-Artefakten. Ursache ist eine fehlerhafte Zugriffskontrolle: Die Anwendung prüft Berechtigungen nicht korrekt, sodass Aktionen oder Ressourcen erreichbar sind, die eigentlich geschützt sein müssten. Ein Angreifer kann diese Lücke aus der Ferne über das Netzwerk ausnutzen, um die unzureichende Rechteprüfung zu umgehen. In der Folge lässt sich die Schwachstelle bis zur Ausführung von beliebigem Programmcode auf dem betroffenen Server eskalieren, wodurch der Angreifer Kontrolle über das System erlangt. Da der Nexus Repository Manager als zentrale Drehscheibe in Software-Entwicklungs- und Auslieferungsprozessen dient und häufig erreichbar betrieben wird, ist ein erfolgreicher Angriff besonders folgenreich: Er kann die verwalteten Artefakte und damit nachgelagerte Build- und Verteilungsabläufe gefährden.