|
【关于Nacos身份认证绕过漏洞的风险提示】
作者:李斌 转贴自:信息中心
| 【关于Nacos身份认证绕过漏洞的风险提示】 一、背景介绍 近日,市委网信办技术支撑单位监测发现到Nacos身份认证绕过漏洞(QVD-2023-6271), 1.1 漏洞描述 Nacos身份认证绕过漏洞(QVD-2023-6271),开源服务管理平台Nacos在默认配置下未对 token.secret.key进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。 1.2 漏洞编号 QVD-2023-6271 1.3漏洞等级 高危 二、修复建议 2.1 受影响版本 0.1.0 <= Nacos <= 2.2.0 2.2 修复建议 目前官方已有可更新版本,建议受影响用户升级至 2.2.0.1 或以上版https://github.com/alibaba/nacos/releases/tag/2.2.0.1 缓解措施: 1、 检查application.properties文件中token.secret.key属性,若为默认值,可参考:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改。 2、将Nacos部署于内部网络环境。 |
| 作者:李斌 |