独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月2日、Sonatype Nexus Repositoryにおけるサーバサイドリクエストフォージェリの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の松本一真氏が報告を行っている。影響を受けるシステムは以下の通り。
Nexus Repository 3.0.0およびそれ以後のバージョン (Community EditionおよびProfessional Editionの両方が影響を受ける)
Sonatypeが提供するNexus Repositoryには、サーバサイドリクエストフォージェリの脆弱性(CVE-2026-0600)が存在し、"remote storage URL" を、クラウドメタデータサービスやローカルネットワーク内のエンドポイントなど当該製品からのアクセスを想定していない対象に設定しておくことで、当該製品からアクセスさせることが可能となる。
バージョン3.88.0以降ではURLバリデーション機能が提供されており、JVNでは当該製品をバージョン3.88.0あるいはそれ以降にアップデートし、URLバリデーション機能を適切に設定するよう呼びかけている。
