nacos - 第 16 | CN-SEC 中文网

安全文章

Nacos Hessian 反序列化 RCE

原文作者：Y4er 原文地址：https://y4er.com/posts/nacos-hessian-rce/ 漏洞概述由于7848端口采用hessian协议传输数据，反序列化未设置白名单导致存在...

06月09日70 views评论

阅读全文

安全漏洞

漏洞风险提示｜Nacos Jraft Hessian反序列化漏洞

Nacos是一个开源的、易于使用的动态服务发现、配置和服务管理平台，适合构建云原生应用。它提供了一种统一的数据管理和服务发现解决方案。近期，长亭科技监测到Nacos发布新版本修复了一个远程代码执行漏洞...

06月07日275 views评论

阅读全文

安全漏洞

Nacos 集群Raft反序列化漏洞安全风险通告

● 点击↑蓝字关注我们，获取更多安全风险通告漏洞概述漏洞名称Nacos 集群Raft反序列化漏洞漏洞编号QVD-2023-13065公开时间2023-05-25影响数量级万级漏洞等级高危漏洞...

06月07日212 views评论

阅读全文

安全漏洞

【漏洞预警】Nacos 集群Raft反序列化漏洞

漏洞描述:Nacos是一个用于动态服务发现和配置以及服务管理的平台。攻击者可以在Nacos集群处理某些Jraft请求时利用Hessian进行无限制的反序列化，从而造成远程代码执行。由于Nacos默认监...

06月07日114 views评论

阅读全文

安全漏洞

Nacos历史洞——Nacos命令执行漏洞

前言Nacos属于阿里巴巴的一个开源的项目,通过一组简单的特性集,Nacos能够帮助用户实现服务动态发现、服务配置、服务元数据及流量管理。Nacos历史版本存在命令执行漏洞。漏洞影响范围版本：2.2....

06月06日200 views评论

阅读全文

安全工具

Nacos身份绕过批量漏洞利用 | 工具

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！ 0x01 工具介绍 Nacos身份绕过漏洞（QVD-2023-6271）EXP。 0x02 安装与使用 1、修改Authorization内...

06月06日151 views评论

阅读全文

代码审计

nacos漏洞(CNVD-2023674205)复现&踩坑记录

3月2日，CNVD披露了编号为CNVD-2023674205的nacos认证绕过漏洞在nacos官方github项目(https://github.com/alibaba/nacos)发布2.2.0....

06月01日112 views评论

阅读全文

安全文章

【漏洞复现】Nacos存在SQL注入漏洞

简介 Nacos 是阿里的开源项目，应用于微服务，微服务是将单体应用拆分成一个个服务节点，nacos主要功能是服务发现和微服务的配置集中管理。Nacos 一、漏洞详情源码地址：https://git...

06月01日817 views评论

阅读全文

安全文章

记一次打穿云上内网的攻防实战

本文首发于火线安全社区，原文地址https://zone.huoxian.cn/d/2766申明：本文仅供技术交流，请自觉遵守网络安全相关法律法规，切勿利用文章内的相关技术从事非法活动，如因此产生的一...

05月24日110 views评论

阅读全文

安全文章

Nacos在攻防中的权限绕过总结 (附一键利用脚本)

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。宝子们现在只对常读和星标的公众号才展示大...

05月18日464 views评论

阅读全文

安全文章

Nacos身份绕过漏洞利用（QVD-2023-6271）

=================================== 免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，...

05月04日34 views评论

阅读全文

安全文章

【漏洞复现】QVD-2023-6271 nacos身份认证绕过漏洞复现

欢迎关注暗魂攻防实验室漏洞描述开源服务管理平台 Nacos 中存在身份认证绕过漏洞，在默认配置下未对 token.secret.key 进行修改，导致远程攻击者可以绕过密钥认证进入后台，造成系统受控等...

04月25日162 views评论

阅读全文

在线咨询

微信