Nexus Repository

Die Schwachstelle betrifft Sonatype Nexus Repository, eine weit verbreitete Server-Software zur Verwaltung und Bereitstellung von Software-Komponenten und Build-Artefakten innerhalb der Entwicklungs- und Lieferkette. Der Fehler beruht auf einer sogenannten JavaEL-Injection: Eine vom Angreifer kontrollierte Eingabe wird vom Server als Ausdruck der Java-Expression-Language interpretiert und ausgewertet, statt nur als Text behandelt zu werden. Dadurch lässt sich Programmcode aus der Ferne zur Ausführung bringen. Ein Angreifer kann auf diesem Weg eigene Befehle auf dem System einschleusen und das betroffene Repository übernehmen. Weil ein solcher Artefakt-Server eine zentrale Rolle in der Software-Verteilung spielt, wiegt eine Übernahme besonders schwer: Der Angreifer könnte nicht nur das System selbst kontrollieren, sondern auch die darüber bereitgestellten Komponenten beeinflussen und so nachgelagerte Systeme und Build-Prozesse gefährden.