Sonatype Nexus Repository にサーバサイドリクエストフォージェリの脆弱性 | ScanNetSecurity
2026.07.16(木)

Sonatype Nexus Repository にサーバサイドリクエストフォージェリの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月2日、Sonatype Nexus Repositoryにおけるサーバサイドリクエストフォージェリの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月2日、Sonatype Nexus Repositoryにおけるサーバサイドリクエストフォージェリの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の松本一真氏が報告を行っている。影響を受けるシステムは以下の通り。

Nexus Repository 3.0.0およびそれ以後のバージョン (Community EditionおよびProfessional Editionの両方が影響を受ける)

 Sonatypeが提供するNexus Repositoryには、サーバサイドリクエストフォージェリの脆弱性(CVE-2026-0600)が存在し、"remote storage URL" を、クラウドメタデータサービスやローカルネットワーク内のエンドポイントなど当該製品からのアクセスを想定していない対象に設定しておくことで、当該製品からアクセスさせることが可能となる。

 バージョン3.88.0以降ではURLバリデーション機能が提供されており、JVNでは当該製品をバージョン3.88.0あるいはそれ以降にアップデートし、URLバリデーション機能を適切に設定するよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  3. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  4. ニチレイへの不正アクセスによるシステム障害、冷蔵倉庫の入出庫業務や冷凍食品出荷業務に影響

    ニチレイへの不正アクセスによるシステム障害、冷蔵倉庫の入出庫業務や冷凍食品出荷業務に影響

  5. 取引先に送付した「注文書フォーム」エクセルファイル内に顧客リストが残存

    取引先に送付した「注文書フォーム」エクセルファイル内に顧客リストが残存

ランキングをもっと見る
PageTop