漏洞通告 | 已修复！Nacos RCE 漏洞

文章预览

漏洞概况 Nacos是一个动态命名和配置服务的开源项目，旨在帮助用户构建云原生应用。它提供了动态服务发现、配置管理和服务共享等基础设施，适用于各种云环境，包括私有云、混合云和公有云。 2024年7月15日，微步漏洞团队监测到Nacos远程命令执行漏洞（https://x.threatbook.com/v5/vul/XVE-2023-35021）利用工具在Github公开。该漏洞的利用前提为Nacos未开启身份认证（默认未开启， 开启身份认证时此利用无法利用 ），通过SQL注入进而构造RCE。 微步已捕获关于该漏洞的在野利用行为 ，危害较大，建议受影响的用户尽快修复。另外，微步漏洞团队监控到Nacos于7月18日发布了最新的代码更新（https://github.com/alibaba/nacos/commit/ed7bd03d4c214d68f51654fee3eea7ecf72fd9ab）， 通过默认禁用derby接口的方式对本漏洞进行了修复，但该修复代码还未合并到发行版本中 。 漏洞处置优先 ………………………………