【风险通告】Nacos 鉴权绕过漏洞
发布时间:2021-01-13 00:00:00
1月13日,金山云安全应急响应中心监测到Alibaba Nacos存在一处认证绕过漏洞,目前尚未发布漏洞补丁。
该漏洞影响范围广,风险等级高,建议使用了Nacos的用户尽快自查并采取缓解措施,避免遭受恶意攻击。
漏洞描述
Nacos被广泛应用于发现、配置和管理微服务。
根据Nacos官方在github发布的issue,Alibaba Nacos存在一处认证绕过漏洞。由于对User-Agent字段判断规则不完善,Nacos开启鉴权后攻击者仍可以绕过鉴权访问任意http接口,从而进行访问用户列表、添加用户等任意操作,风险极大。
风险等级
高危
影响版本
Nacos 2.0.0-ALPHA.1
Nacos 1.x.x
修复建议
官方尚未发布漏洞补丁。
业务环境允许的情况下,可利用白名单限制相关web项目的访问来降低风险。
参考链接
[1] https://github.com/alibaba/nacos/issues/4593
北京金山云网络技术有限公司
2021/01/13
以上就是金山云为您带来的【风险通告】Nacos 鉴权绕过漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。