Vulnerabilidad en Sonatype Nexus (CVE-2014-0792)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
17/01/2014
Última modificación:
11/04/2025
Descripción
Sonatype Nexus 1.x y 2.x anteriores a 2.7.1 permite a atacantes remotos crear objetos de forma arbitraria y ejecutar código a través de vectores no especificados relacionados con la resolución de referencias de tipo de Objeto a los que no se debería
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sonatype:nexus:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.0.4:1:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sonatype:nexus:2.5.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.sonatype.org/advisories/archive/2014-01-13-Nexus
- https://sonatype.zendesk.com/entries/37551958-Configuring-Xstream-Whitelist
- https://support.sonatype.com/entries/37828023-Nexus-Security-Vulnerability
- http://www.sonatype.org/advisories/archive/2014-01-13-Nexus
- https://sonatype.zendesk.com/entries/37551958-Configuring-Xstream-Whitelist
- https://support.sonatype.com/entries/37828023-Nexus-Security-Vulnerability