Nacos远程代码执行漏洞风险通告

文章预览

点击上方"蓝字" 关注我们吧！ 0 1 漏洞概述 Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台，支持多种开箱即用的以服务为中心的架构特性，无缝支持Kubernetes和Spring Cloud，具备企业级SLA的开源产品。近期安天攻防实验室监测到了Nacos 0day相关信息，对此“0day”漏洞进行跟进分析。 0 2 漏洞影响范围 名称 版本号 Nacos < = v2.4.0 BETA, < = v2.3.2 截止2024.7.16，最新测试版本2.4.0、最新稳定版本2.3.2均受影响 根据Nacos官方文档，2.2.2版本之前的Nacos默认控制台，无论服务端是否开启鉴权，都会存在一个登录页； 这导致很多用户被误导认为Nacos默认是存在鉴权的。 Nacos从2.2.2版本开始，在未开启鉴权时，默认控制台不需要登录即可访问。 经测2.2.2之前的2.2.1版本默认配置虽存在登录页，但问题接口仍暴漏在外，仍可成功利用漏洞。 03 漏洞 ………………………………