Nacos安全漏洞修复方案：保护您的应用服务

尊敬的家人们，大家好！在过去的几年中，Nacos作为阿里巴巴推出的一项开源项目，为云原生应用的构建和管理提供了许多便利。然而，最近发现了一个安全漏洞，该漏洞可能导致未经授权的用户获取到敏感信息。为了确保您的应用程序的安全性，我们将在本文中向您介绍修复Nacos漏洞的方案

CVE编号

CVE-2021-29441

漏洞类型

远程数据修改

漏洞描述

Nacos 是阿里巴巴推出来的一个开源项目，这是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 nacos在进行认证授权操作时，会判断请求的user-agent是否为”Nacos-Server”，如果是的话则不进行任何认证。利用这个未授权漏洞，攻击者可以获取到用户名密码等敏感信息。

推荐方案

前往GitHub官方页面获取最新版本:https://github.com/alibaba/nacos

解决方案

我们生产使用的nacos版本为2.1.0，未使用方便，未开启服务身份识别功能，这时我们可以通过postman或者直接在浏览器请求 http://ip:port/nacos/v1/auth/users?pageNo=1&pageSize=9，此时不需要身份认证就可以获取到用户数据；相应如下：

我们的解决方案是：

1. 修改 nacos的application.properties配置文件nacos.core.auth.enabled=true，开启服务身份识别功能
2. 重启nacos

此时我们再访问刚才的接口，换在浏览器执行如果出现这个：

出现403的说明修改成功

3. Nacos注册及配置中心开启权限认证
   

以上修改完成以后，再次漏扫，nacos权限绕过漏洞(CVE-2021-29441)不会再出现