Nacos 身份认证绕过漏洞安全风险通告

admin 2023年3月16日10:16:25评论74 views字数 769阅读2分33秒阅读模式

Nacos 身份认证绕过漏洞安全风险通告





Nacos 身份认证绕过漏洞
(NVDB-CNVDB-2023)





Nacos 身份认证绕过漏洞安全风险通告

    Nacos是阿里的一个开源产品,它是针对微服务架构中的服务发现、配置管理、服务治理的综合性解决方案。
    Nacos致力于帮助您发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,帮助您实现动态服务发现、服务配置管理、服务及流量管理。Nacos帮助您更敏捷和容易地构建、交付和管理微服务平台。Nacos是构建以“服务”为中心的现代应用架构的服务基础设施。





Nacos 身份认证绕过漏洞安全风险通告





NO.1


漏洞描述


Nacos 身份认证绕过漏洞安全风险通告
近日,Nacos发布2.2.0.1版本,修复了一处身份认证绕过漏洞,漏洞危害等级高危。
在默认配置下,远程攻击者可利用该漏洞绕过密钥认证进入后台,造成系统被控制等后果。

Nacos 身份认证绕过漏洞安全风险通告





NO.2


漏洞影响范围


Nacos 身份认证绕过漏洞安全风险通告

0.1.0  Nacos ≤ 2.2.0





NO.3


修复方案


Nacos 身份认证绕过漏洞安全风险通告
缓解措施:
1.检查application.properties文件中token.secret.key属性,若为默认值,可参考:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改;
2. Nacos部署在内网中,不要映射在公网;

修复方案:
目前官方已有可更新版本,建议受影响用户升级至2.2.0.1或以上版本。
https://github.com/alibaba/nacos/releases/tag/2.2.0.1





NO.4


参考链接


Nacos 身份认证绕过漏洞安全风险通告
https://github.com/alibaba/nacos/releases/tag/2.2.0.1
https://github.com/alibaba/nacos/issues/10060
https://mp.weixin.qq.com/s/5lE_9I6-r1CE8CYtUZG1rQ


Nacos 身份认证绕过漏洞安全风险通告


原文始发于微信公众号(锋刃科技):Nacos 身份认证绕过漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月16日10:16:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Nacos 身份认证绕过漏洞安全风险通告https://cn-sec.com/archives/1607525.html

发表评论

匿名网友 填写信息