CVE-2026-14645 in Nexus Repository
الملخص
بحسب VulDB • 14/07/2026
لا تقوم Nexus Repository 3 بالتحقق من صحة عنوان URL المُعدّ لقابلية "Webhook: Global" قبل إجراء طلب HTTP خارجي، مما يسمح لمستخدم يحمل إذن إدارة القابليات (Capability Administration) بإجبار الخادم على إرسال طلبات إلى مواقع داخل الشبكة (هجوم تزوير الطلبات الجانبية للسيرفر - Server-Side Request Forgery). يتم منح هذا الإذن من خلال تعيين الأدوار، بشكل مستقل عن حالة المصادقة، لذا يمكن لمستخدم غير مُصَدَّق عليه أيضاً تشغيل هذا السلوك إذا تم منح الإذن للدور المجهول.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.