最近接到安全信息部门提报Nacos 身份认证绕过漏洞(QVD-2023-6271),评级为高位漏洞。
漏洞描述:开源服务管理平台 Nacos 中存在身份认证绕过漏洞,在默认配 置下未token.secret.key 进行修改,导致远程攻击者可以绕 过密钥认证进入后台,造成系统受控等后果。
漏洞影响版本:0.1.0 <= Nacos <= 2.2.0
缓解措施:
1、 检查 application.properties 文件中 token.secret.key 属性,若为默认 值,可参考:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html 进行更 改。
2、 将 Nacos 部署于内部网络环境
最终解决方式:
1、nacos版本升级到最新2.2.1
2、修改token.secret.key属性的默认值(此属性在nacos的config文件下application.properties中)
1、nacos版本升级
github下载nacos最新版本2.2.1
链接地址:Release 2.2.1 (Mar 17th, 2023) · alibaba/nacos · GitHub
在实际使用过程中,nacos的配置数据已经持久化到数据库,nacos版本升级需要调整对应的配置文件。文章来源:https://www.toymoban.com/news/detail-468754.html
application.p文章来源地址https://www.toymoban.com/news/detail-468754.html
到了这里,关于Nacos 身份认证绕过漏洞(QVD-2023-6271)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
