服务器扫出来nacos权限绕过漏洞(CVE-2021-29441),按照修改说明升级最新版本即可,但是服务器上已经是最新版本了,还是扫出漏洞,网上查了一下原来升级后还要手动开启权限验证,网上文章很多:
application.properties配置项
### If turn on auth system:
nacos.core.auth.enabled=true
项目nacos配置增加usernam和password,值是登录nacos的用户名和密码(我这是SpringBoot项目 bootstrap.yml):
spring:
cloud:
nacos:
username: nacos
password: nacos
config:
server-addr: localhost:8848
file-extension: yaml
discovery:
server-addr: localhost:8848
记录一下遇到的其他问题:
1.springboot项目,原来配置的file-extension: yml,可以调到nacos中的配置(应该是yml和yaml都兼容),此次升级及开启权限验证后只有配置成yaml才能调到配置。(浪费了很多时间,发现后捶胸顿足)
2.在nacos中新建了一个账号给项目使用,发现调不到配置,用原来的nacos账号居然可以。postman测试发现新建的账号没有权限,原来新账号需要nacos的权限控制菜单,分配角色和资源。
另:验证问题时最好使用postman测,错误代码更直观。调用某个配置
http://localhost:8848/nacos/v1/cs/configs?group=DEFAULT_GROUP&tenant=public&dataId=test.yaml&username=nacos&password=nacos