文章预览
Nacos是一个开源的服务发现和配置管理平台,专门为微服务架构设计,用于帮助构建动态服务发现、服务配置管理、服务元数据及流量管理。 2024年7月,互联网披露了一个Nacos的漏洞利用。经分析,攻击者可利用该漏洞获取操作系统权限,建议受影响的客户尽快修复漏洞。 漏洞描述 Description 0 1 漏洞成因 在 standalone 模式下,Nacos 默认使用 Derby 数据库。与其他外部数据库不同,Apache Derby 数据库是嵌入式的,无法通过外部 JDBC 连接进行管理,因此 Nacos 提供了运维接口来执行 SQL 语句。该漏洞利用了 removal 接口实现远程代码执行,是 后台漏洞 。 漏洞影响 在 Nacos 未启用身份认证、攻击者绕过权限获取后台权限,或攻击者使用合法账号登录的情况下,可以利用该接口实现远程代码执行。 处置优先级:高 漏洞类型: SQLi to RCE 漏洞危害等级: 高 权限
………………………………