Nexus es un administrador de repositorios y actúa como un repositorio provisional que “intercepta” los artefactos cargados por mvn deploy.

Por lo tanto, los artefactos se pueden implementar de forma segura en Nexus como parte de la votación de un lanzamiento. La votación tiene lugar en los artefactos escenificados. Si la votación tiene éxito, los artefactos se pueden promover al repositorio en vivo. Si falla, los artefactos se pueden eliminar y el proceso se puede reiniciar.

El 15 de octubre de 2020, Sonatype lanzó oficialmente el aviso de riesgo de vulnerabilidad de omisión de verificación de Nexus Repository Manager 2 & 3 (CVE-2020-13933), el nivel de vulnerabilidad es de alto riesgo. La puntuación de vulnerabilidad es 7.5 (CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: N).

Los usuarios no autenticados pueden enviar solicitudes HTTP especialmente diseñadas, lo que puede hacer que se omita la autenticación. 

Versión afectada

• Versiones de Nexus Repository Manager 2 hasta la 2.14.18 inclusive
• Versiones de Nexus Repository Manager 3 hasta la 3.26.1 inclusive

Versión no afectada:

• Nexus Repository Manager 2 versiones 2.14.19 y posteriores
• Nexus Repository Manager 3 versiones 3.27.0 y posteriores