|
【关于Nacos集群Raft反序列化漏洞(QVD-2023-13065)的风险提示】
作者:李斌 转贴自:信息中心
| 【关于Nacos集群Raft反序列化漏洞(QVD-2023-13065)的风险提示】 一、背景介绍 近日,市委网信办技术支撑单位监测发现Nacos集群Raft反序列化漏洞(QVD-2023-13065)。 1.1 漏洞描述 在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。 1.2 漏洞编号 QVD-2023-13065 1.3漏洞等级 高危 二、修复建议 2.1 受影响版本 1.4.0 <= Nacos < 1.4.6 2.0.0 <= Nacos < 2.2.3 2.2 修复建议 目前官方已发布安全修复更新,受影响用户可以升级到 Nacos 1.4.6、Nacos 2.2.3。 https://github.com/alibaba/nacos/releases/tag/1.4.6 https://github.com/alibaba/nacos/releases/tag/2.2.3 缓解措施:由于该漏洞仅影响 7848 端口(默认设置下),客户可通过禁止该端口的请求来缓解此 漏洞。 |
| 作者:李斌 |