【风险公告】Nacos 鉴权绕过缝隙
2021-01-13 00:00:00
1月13日�,234钱包安全应急响应中心监测到Alibaba Nacos存在一处认证绕过缝隙�,目前尚未颁布缝隙补丁�!�。
该缝隙影响领域广�,风险等级高�,建议使用了Nacos的用户尽快自查并采取缓解措施�,预防遭逢恶意攻击�!�。
缝隙描述
Nacos被宽泛利用于发现�、�、�、配置和治理微服务�!�。
凭据Nacos官方在github颁布的issue�,Alibaba Nacos存在一处认证绕过缝隙�!�。由于对User-Agent字段判断规定不美满�,Nacos开启鉴权后攻击者仍能够绕过鉴权接见肆意http接口�,从而进行接见用户列表�、�、�、增长用户等肆意操作�,风险极大�!�。
风险等级
高危
影响版本
Nacos 2.0.0-ALPHA.1
Nacos 1.x.x
修复建议
官方尚未颁布缝隙补丁�!�。
业务环境允许的情况下�,可利用白名单限度有关web项主张接见来降低风险�!�。
参考链接
[1] https://github.com/alibaba/nacos/issues/4593
北京234钱包网络技术有限公司
2021/01/13