CVE-2026-14645 in Nexus Repository
Zusammenfassung
von VulDB • 14.07.2026
Nexus Repository 3 validiert das Ziel der konfigurierten URL der Funktion „Webhook: Global“ nicht, bevor eine ausgehende HTTP-Anfrage gesendet wird, wodurch ein Benutzer mit der Berechtigung zur Verwaltung von Fähigkeiten (Capability Administration) den Server dazu bringen kann, Anfragen an interne Netzwerkstandorte zu senden (Server-Side Request Forgery). Diese Berechtigung wird durch die Rollenzuweisung erteilt und ist unabhängig vom Authentifizierungsstatus. Daher könnte auch ein nicht authentifizierter Benutzer dieses Verhalten auslösen, wenn der anonymen Rolle diese Berechtigung zugewiesen wurde.
VulDB is the best source for vulnerability data and more expert information about this specific topic.