Nacos 身份认证绕过漏洞(QVD-2023-6271)

        最近接到安全信息部门提报Nacos 身份认证绕过漏洞(QVD-2023-6271),评级为高位漏洞。

漏洞描述:开源服务管理平台 Nacos 中存在身份认证绕过漏洞,在默认配 置下未token.secret.key 进行修改,导致远程攻击者可以绕 过密钥认证进入后台,造成系统受控等后果。

漏洞影响版本:0.1.0 <= Nacos <= 2.2.0

缓解措施:

1、 检查 application.properties 文件中 token.secret.key 属性,若为默认 值,可参考:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html 进行更 改。

2、 将 Nacos 部署于内部网络环境

最终解决方式:

1、nacos版本升级到最新2.2.1

2、修改token.secret.key属性的默认值(此属性在nacos的config文件下application.properties中)

1、nacos版本升级

github下载nacos最新版本2.2.1

链接地址:Release 2.2.1 (Mar 17th, 2023) · alibaba/nacos · GitHub

在实际使用过程中,nacos的配置数据已经持久化到数据库,nacos版本升级需要调整对应的配置文件。

application.p

你可能感兴趣的:(java)