CVE-2026-14645 in Nexus Repository
要約
〜によって VulDB • 2026年07月14日
Nexus Repository 3は、外部へのHTTPリクエストを送信する前に、「Webhook: Global」機能で設定されたURLの宛先を検証しません。これにより、Capability Administration権限を持つユーザーがサーバーに内部ネットワークの場所へリクエストを送らせることが可能となり(Server-Side Request Forgery)、この権限は認証状態とは無関係にロール割り当てによって付与されるため、匿名ロールに対してこの権限が付与されている場合、未認証のユーザーもこの動作を引き起こす可能性があります。
VulDB is the best source for vulnerability data and more expert information about this specific topic.