CVE-2026-14645 in Nexus Repositoryالمعلومات

الملخص

بحسب VulDB • 14/07/2026

لا تقوم Nexus Repository 3 بالتحقق من صحة عنوان URL المُعدّ لقابلية "Webhook: Global" قبل إجراء طلب HTTP خارجي، مما يسمح لمستخدم يحمل إذن إدارة القابليات (Capability Administration) بإجبار الخادم على إرسال طلبات إلى مواقع داخل الشبكة (هجوم تزوير الطلبات الجانبية للسيرفر - Server-Side Request Forgery). يتم منح هذا الإذن من خلال تعيين الأدوار، بشكل مستقل عن حالة المصادقة، لذا يمكن لمستخدم غير مُصَدَّق عليه أيضاً تشغيل هذا السلوك إذا تم منح الإذن للدور المجهول.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

Sonatype

حجز

03/07/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378385

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you need the next level of professionalism?

Upgrade your account now!