【風(fēng)險(xiǎn)通告】Nacos 鑒權(quán)繞過(guò)漏洞
2021-01-13 00:00:00
1月13日����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Alibaba Nacos存在一處認(rèn)證繞過(guò)漏洞��,目前尚未發(fā)布漏洞補(bǔ)丁����。
該漏洞影響范圍廣�,風(fēng)險(xiǎn)等級(jí)高�����,建議使用了Nacos的用戶(hù)盡快自查并采取緩解措施��,避免遭受惡意攻擊����。
漏洞描述
Nacos被廣泛應(yīng)用于發(fā)現(xiàn)、配置和管理微服務(wù)��。
根據(jù)Nacos官方在github發(fā)布的issue����,Alibaba Nacos存在一處認(rèn)證繞過(guò)漏洞。由于對(duì)User-Agent字段判斷規(guī)則不完善����,Nacos開(kāi)啟鑒權(quán)后攻擊者仍可以繞過(guò)鑒權(quán)訪(fǎng)問(wèn)任意http接口�����,從而進(jìn)行訪(fǎng)問(wèn)用戶(hù)列表�����、添加用戶(hù)等任意操作����,風(fēng)險(xiǎn)極大����。
風(fēng)險(xiǎn)等級(jí)
高危
影響版本
Nacos 2.0.0-ALPHA.1
Nacos 1.x.x
修復(fù)建議
官方尚未發(fā)布漏洞補(bǔ)丁。
業(yè)務(wù)環(huán)境允許的情況下���,可利用白名單限制相關(guān)web項(xiàng)目的訪(fǎng)問(wèn)來(lái)降低風(fēng)險(xiǎn)���。
參考鏈接
[1] https://github.com/alibaba/nacos/issues/4593
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/01/13