|
[English]
|
JVNDB-2026-000015
|
Sonatype Nexus Repositoryにおけるサーバサイドリクエストフォージェリの脆弱性
|
|
Sonatypeが提供するNexus Repositoryには、次の脆弱性が存在します。
- サーバサイドリクエストフォージェリ(CWE-918)- CVE-2026-0600
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏
|
|
|
CVSS v3 による深刻度
基本値: 7.6 (重要) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 低
- 可用性への影響(A): なし
|
CVSS v4 による深刻度
基本値: 6.2 (警告) [IPA値]
- 攻撃元区分 (AV): ネットワーク
- 攻撃の複雑さ (AC): 低
- 攻撃要件 (AT): なし
- 攻撃に必要な特権レベル (PR): 高
- 利用者の関与 (UI): なし
脆弱なシステムへの影響
- 機密性への影響 (VC): なし
- 完全性への影響 (VI): なし
- 可用性への影響 (VA): なし
後続システムへの影響
- 機密性への影響 (SC): 高
- 完全性への影響 (SI): 低
- 可用性への影響 (SA): なし
|
|
|
Sonatype Inc.
- Nexus Repository 3.0.0およびそれ以後のバージョン (Community EditionおよびProfessional Editionの両方が影響を受けます)
|
|
|
"remote storage URL" を、クラウドメタデータサービスやローカルネットワーク内のエンドポイントなど当該製品からのアクセスを想定していない対象に設定しておくことで、当該製品からアクセスさせることが可能です。
|
|
[ソフトウェアをアップデートし、適切な設定を行う]
バージョン3.88.0以降ではURLバリデーション機能が提供されています。(初期状態では無効。)
当該製品をバージョン3.88.0あるいはそれ以降にアップデートし、URLバリデーション機能を適切に設定してください。
詳細については、開発者が提供する情報を参照してください。
|
|
Sonatype Inc.
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2026-0600
|
|
- JVN : JVN#64861120
|
|
|
