CVE-2026-14645 in Nexus Repository
Sumário
de VulDB • 14/07/2026
O Nexus Repository 3 não valida o destino da URL configurada na capacidade "Webhook: Global" antes de realizar uma solicitação HTTP de saída, permitindo que um usuário com a permissão de Administração de Capacidades faça com que o servidor envie solicitações para locais na rede interna (Server-Side Request Forgery). Essa permissão é concedida por atribuição de função, independentemente do status de autenticação; portanto, um usuário não autenticado também poderia acionar esse comportamento se a função anônima tiver recebido essa permissão.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.