0x00简介
Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。
0x01漏洞概述
Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的认证绕过漏洞。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。
0x02影响版本
Nacos <= 2.0.0-ALPHA.1
0x03环境搭建
1、在Nacos的GitHub项目地址下载nacos2.0.0-ALPHA.1版本的,下载地址:
wget https://github.com/alibaba/nacos/releases/tag/2.0.0-ALPHA.1
2.解压下载的安装,进入bin目录运行启动 //启动需要java8环境