【風險通告】Nacos 鑒權繞過漏洞
2021-01-13 00:00:00
1月13日�����,金山云安全應急響應中心監(jiān)測到Alibaba Nacos存在一處認證繞過漏洞�,目前尚未發(fā)布漏洞補丁��。
該漏洞影響范圍廣��,風險等級高�����,建議使用了Nacos的用戶盡快自查并采取緩解措施�����,避免遭受惡意攻擊�。
漏洞描述
Nacos被廣泛應用于發(fā)現(xiàn)���、配置和管理微服務����。
根據(jù)Nacos官方在github發(fā)布的issue��,Alibaba Nacos存在一處認證繞過漏洞���。由于對User-Agent字段判斷規(guī)則不完善�����,Nacos開啟鑒權后攻擊者仍可以繞過鑒權訪問任意http接口�,從而進行訪問用戶列表、添加用戶等任意操作����,風險極大。
風險等級
高危
影響版本
Nacos 2.0.0-ALPHA.1
Nacos 1.x.x
修復建議
官方尚未發(fā)布漏洞補丁�����。
業(yè)務環(huán)境允許的情況下����,可利用白名單限制相關web項目的訪問來降低風險。
參考鏈接
[1] https://github.com/alibaba/nacos/issues/4593
北京金山云網(wǎng)絡技術有限公司
2021/01/13