fofa
app="NACOS"
一、漏洞简述
是一个动态服务发现、配置管理和服务管理平台,解决了在云原生应用程序构建过程中服务发现和动态配置等常见问题。它提供了服务发现和健康监测、动态配置管理、动态 DNS 服务以及集群管理和负载均衡等功能,设计目标是为构建云原生应用提供更易用的动态服务发现、配置和服务管理平台。Nacos 支持多种编程语言,并有丰富的生态系统支持,广泛应用于阿里巴巴集团内部的微服务架构和 Serverless 架构中。存在个SQL注入导致的命令执行漏洞。
二、已经有人把exp给了,懒得再做了
https://github.com/ayoundzw/nacos-poc
四、修复
官方已更新补丁,请升级至最新版本。
原文始发于微信公众号(苏诺木安全团队):【0day】Nacos SQL注入导致的命令执行
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论