Nacos 身份认证绕过漏洞(QVD-2023-6271)

        最近接到安全信息部门提报Nacos 身份认证绕过漏洞(QVD-2023-6271)，评级为高位漏洞。

漏洞描述：开源服务管理平台 Nacos 中存在身份认证绕过漏洞，在默认配 置下未token.secret.key 进行修改，导致远程攻击者可以绕 过密钥认证进入后台，造成系统受控等后果。

漏洞影响版本：0.1.0 <= Nacos <= 2.2.0

缓解措施：

1、 检查 application.properties 文件中 token.secret.key 属性，若为默认 值，可参考：https://nacos.io/zh-cn/docs/v2/guide/user/auth.html 进行更 改。

2、 将 Nacos 部署于内部网络环境

最终解决方式：

1、nacos版本升级到最新2.2.1

2、修改token.secret.key属性的默认值（此属性在nacos的config文件下application.properties中）

1、nacos版本升级

github下载nacos最新版本2.2.1

链接地址：Release 2.2.1 (Mar 17th, 2023) · alibaba/nacos · GitHub

在实际使用过程中，nacos的配置数据已经持久化到数据库，nacos版本升级需要调整对应的配置文件。

application.p