Nacos 身份认证绕过漏洞安全风险通告

admin

139622
文章

114
评论

2023年3月16日10:16:25评论96 views字数 769阅读2分33秒阅读模式

Nacos 身份认证绕过漏洞安全风险通告

Nacos 身份认证绕过漏洞
(NVDB-CNVDB-2023)

Nacos是阿里的一个开源产品，它是针对微服务架构中的服务发现、配置管理、服务治理的综合性解决方案。
Nacos致力于帮助您发现、配置和管理微服务。Nacos提供了一组简单易用的特性集，帮助您实现动态服务发现、服务配置管理、服务及流量管理。Nacos帮助您更敏捷和容易地构建、交付和管理微服务平台。Nacos是构建以“服务”为中心的现代应用架构的服务基础设施。

NO.1

漏洞描述

近日，Nacos发布2.2.0.1版本，修复了一处身份认证绕过漏洞，漏洞危害等级高危。
在默认配置下，远程攻击者可利用该漏洞绕过密钥认证进入后台，造成系统被控制等后果。

Nacos 身份认证绕过漏洞安全风险通告

NO.2

漏洞影响范围

0.1.0 ≤ Nacos ≤ 2.2.0

NO.3

修复方案

缓解措施：

1.检查application.properties文件中token.secret.key属性，若为默认值，可参考：https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改；

2. Nacos部署在内网中，不要映射在公网；

修复方案：

目前官方已有可更新版本，建议受影响用户升级至2.2.0.1或以上版本。
https://github.com/alibaba/nacos/releases/tag/2.2.0.1

NO.4

参考链接

https://github.com/alibaba/nacos/releases/tag/2.2.0.1

https://github.com/alibaba/nacos/issues/10060

https://mp.weixin.qq.com/s/5lE_9I6-r1CE8CYtUZG1rQ

原文始发于微信公众号（锋刃科技）：Nacos 身份认证绕过漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Nacos 身份认证绕过漏洞安全风险通告

【已复现】Craft CMS generate-transform 反序列化代码执行漏洞（CVE-2025-32432）

【成功复现】CrushFTP身份认证绕过漏洞（CVE-2025-2825)

宏景人力资源管理系统 searchCreatPlanList.do SQL注入漏洞(CNVD-2025-6953) POC

WordPress未授权任意文件读取_CVE-2025-2294 POC

Fortinet FortiSwitch 任意密码重置 CVE-2024-48887

DataEase H2 JDBC远程代码执行漏洞CVE-2025-32966

金盘移动图书馆系统信息泄露漏洞

Netgear信息泄露漏洞

JeeWMS cgAutoListController.do SQL注入漏洞

泛微E-Cology9前台SQL注入漏洞

发表评论

在线咨询

微信