CVE-2019-7238
CVE-2019-7238
Vexday Risk Score
100Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
Maturidade do exploit
Exploit funcional
PoC popular no GitHub (153 estrelas) — código de exploração amplamente disponível.
CVSS 9.8EPSS 76.5%KEV simPoC públicaNuclei simMetasploit —Patch —
Ciclo de vida
24 fev 2019PoC pública
21 mar 2019Publicada no NVD
10 dez 2021Exploração ativa (CISA KEV)
Velocidade de armamento
994 diasaté exploração ativa (KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
O Sonatype Nexus Repository Manager em versões anteriores à 3.15.0 possui uma falha que permite que usuários não autorizados acessem ou modifiquem conteúdo de repositórios que deveriam estar protegidos. Isto é crítico porque repositórios frequentemente contêm componentes de software sensíveis.
Detalhe técnico
A vulnerabilidade resulta de controle de acesso inadequadamente implementado no Nexus Repository Manager anterior à versão 3.15.0, permitindo que atacantes não autenticados ou com poucos privilégios contornem verificações de permissão e acessem repositórios protegidos. O ataque requer apenas acesso à rede da instância Nexus sem pré-condições especiais, resultando em acesso não autorizado de leitura/escrita aos dados do repositório.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Sonatype Nexus Repository Manager before 3.15.0 has Incorrect Access Control.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 11
githubgithub.com/mpgn/CVE-2019-7238★ 153githubgithub.com/jas502n/CVE-2019-7238★ 85githubgithub.com/verctor/nexus_rce_CVE-2019-7238★ 39githubgithub.com/magicming200/CVE-2019-7238_Nexus_RCE_Tool★ 24githubgithub.com/DannyRavi/nmap-scripts★ 2githubgithub.com/smallpiggy/CVE-2019-7238★ 1vulncheckvulncheck.com/xdb/b3a349f42d18não verificadovulncheckvulncheck.com/xdb/3edc0bb5ba96não verificadovulncheckvulncheck.com/xdb/4da5a08d9ad8não verificadovulncheckvulncheck.com/xdb/ea23cc246706não verificadovulncheckvulncheck.com/xdb/3190c1277623não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.