| Title | Sonatype Nexus Repositoryにおけるサーバサイドリクエストフォージェリの脆弱性 |
|---|---|
| Summary | Sonatypeが提供するNexus Repositoryには、次の脆弱性が存在します。 <ul><li>サーバサイドリクエストフォージェリ(CWE-918)- CVE-2026-0600</li></ul> この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 |
| Possible impacts | "remote storage URL" を、クラウドメタデータサービスやローカルネットワーク内のエンドポイントなど当該製品からのアクセスを想定していない対象に設定しておくことで、当該製品からアクセスさせることが可能です。 |
| Solution | [ソフトウェアをアップデートし、適切な設定を行う] バージョン3.88.0以降ではURLバリデーション機能が提供されています。(初期状態では無効。) 当該製品をバージョン3.88.0あるいはそれ以降にアップデートし、URLバリデーション機能を適切に設定してください。 詳細については、開発者が提供する情報を参照してください。 |
| Publication Date | Feb. 2, 2026, midnight |
| Registration Date | Feb. 2, 2026, 12:07 p.m. |
| Last Update | Feb. 2, 2026, 12:07 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.6 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:N |
| Sonatype Inc. |
| Nexus Repository 3.0.0およびそれ以後のバージョン (Community EditionおよびProfessional Editionの両方が影響を受けます) |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年02月02日] 掲載 |
Jan. 27, 2026, 3:27 p.m. |