速报:Nacos最新0day漏洞的临时修补方案

最新推荐文章于 2024-07-22 16:43:19 发布
最新推荐文章于 2024-07-22 16:43:19 发布
阅读量196 收藏
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/140482981
版权

983da230a09ed172ead31d8f751053cd.png

 Part1 前言 

大家好,我是ABC_123。今天下午github上有网友公布了最新的nacos远程代码执行漏洞及exp,目前官方补丁还没出来,这里ABC_123给大家提供一个临时的漏洞修补方案。

 Part2 技术研究过程 

首先这个nacos的0day漏洞是真实存在的,危害是很严重的,再者这是一个登录后台才能利用的漏洞,而且不出网也能利用。有网友会说,有的nacos不需要登录后台也能打,那是因为所打的nacos存在之前的匿名访问漏洞、或者鉴权漏洞。

b4b63f96cf29b0d49ce746c93b2cc03b.png

这里给出一个临时的修补漏洞的方法:

 1   升级nacos到最新版本(原因:杜绝nacos前期出现的几个未授权访问漏洞)。

 2   禁止nacos的匿名访问,开启鉴权

 3   nacos的口令设置得足够复杂(原因:杜绝弱口令,这个nacos的0day漏洞是需要登录后台才能利用)。

以上三条措施做好了,就可以解决修复该漏洞。

c78e516fa1f8aa800629f3bdbc99f6c5.png

公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)

希潭实验室
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Nacos 身份认证绕过漏洞(QVD-2023-6271)
feelxing的专栏
03-31 5542
Nacos 身份认证绕过漏洞(QVD-2023-6271),nacos版本从1.4.1升级到2.2.1最新版本
annuaire-entreprises.data.gouv.fr:年鉴,基里内共和国信息速报:企业的唐纳德
02-16
annuaire-entreprises.data.gouv.fr : 在企业,协会和行政管理部门中,由企业,组织和管理人员组织的一种“开放数据”。 佛得角建筑学院 Ce网站利用Next.js进行了修改: 在开发过程中,next.js可以进行常规操作。...
重大0day漏洞预警:Nacos 漏洞触发远程代码执行
最新发布
weixin_55163056的博客
07-22 1259
Nacos中新发现的0day漏洞可以触发远程代码执行,开源网安RASP团队检测并分析出三种类型的攻击:不安全的反射漏洞、SQL注入攻击、命令注入
Nacos最新0day漏洞复现
qq_55213436的博客
07-16 3354
漏洞的核心在于 Nacos 的某些接口没有严格的权限控制,攻击者可以通过特制的请求向 Nacos 服务器发送恶意数据,从而执行任意代码。下载nacos代码搭建环境这次漏洞 需要登录到后才才能利用漏洞涉及到 Nacos 在处理反序列化数据时的缺陷,攻击者能够通过特定的 JSON 数据结构,远程执行恶意代码。以利用该漏洞读取敏感文件、执行系统命令
nacos漏洞汇总
潇逗
06-27 1640
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。指纹:app=“nacos”默认密码nacos nacos
Nacos身份认证漏洞
C_0010的博客
12-09 4619
Nacos身份认证漏洞,我们竟然2022年才发现!
2021年中国梨产业速报.pdf
03-22
2021年中国梨产业速报
物联网地质环境信息化综合解决方案.pdf
10-14
《物联网地质环境信息化综合解决方案》概述 物联网技术在地质环境信息化领域的应用日益广泛,通过集成化的解决方案,可以高效地管理地质灾害,提升行业的信息化水平。本文将深入探讨四个关键的地质环境信息化管理...
个推案例-地震速报
07-11
【个推推送解决方案】 个推是一家提供专业推送服务的公司,其推送解决方案具有多项显著优点,包括高安全性、高可靠性、低成本、易于集成以及实时到达等特性。这些特性使得个推的服务在众多行业中都能得到广泛应用,...
个推案例-地址速报
07-26
【个推推送解决方案】是本文的核心讨论点,它是一种高效且功能强大的消息推送服务,具有高安全性、高可靠性、低成本、易集成以及实时到达等显著优势。这些特性使得个推在众多推送服务提供商中脱颖而出,尤其适用于...
速报后台管理系统.zip
03-13
C# + SQL Server 本系统包括两类用户:学生、管理员。管理员可以通过系统来添加管理员信息、修改管理员信息、添加学生信息、修改学生信息;开设课程、查询课程、录入成绩、统计成绩 管理系统是一种通过计算机技术...
基于微信小程序的地震信息速报系统设计实现.zip
10-16
【标题】:“基于微信小程序的地震信息速报系统设计实现” 【内容详解】: 随着移动互联网的快速发展,微信小程序作为一种轻量级的应用形态,已经深入到人们日常生活的各个领域。本项目“基于微信小程序的地震信息...
2024年中国苹果产业速报.pptx
01-12
2024年中国苹果产业速报展示了中国作为全球最大的苹果生产国,在这一年中取得了显著的发展。报告涵盖了产量、种植面积、市场销售、价格走势以及产业面临的挑战等多个方面。以下是相关知识点的详细说明: 1. 产量与...
日本的“紧急地震速报”系统
10-22
日本的“紧急地震速报”系统是一种先进的地震预警机制,旨在尽可能在主震波(S波)到达之前,利用地震的初期微震(P波)向公众发出警报。该系统自2006年开始向企业服务,并从2007年10月起面向普通消费者。其核心原理...
0-day预警-NACOS RCE-0day漏洞复现
Success696的博客
07-15 2163
配置config.py中的ip和端口,执行service.py。fofa语法: icon_hash=“13942501”ZoomEye语句:app:“Alibaba Nacos执行exploit.py,输入地址和命令即可执行。下载nacos版本,项目地址。
Nacos 漏洞利用
huangyongkang666的博客
01-03 7781
在src挖掘中碰到的漏洞,于是了解了一下该漏洞漏洞的利用方式
nacos漏洞小结
qq_61475980的博客
07-01 1906
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在路径后面加上可以获取到已有的用户名和密码,可以把User-Agent头改为Nacos-Server,如图更改提交方式为POST, 访问新建一个账号test111,可以看到创建用户成功,如图更改提交方式为DELETE, 访问可以看到用户删除成功,如图更改提交方式为。
JOPENS定位法:台湾中深源地震参数对比与速报策略
研究者们关注的问题在于,如何通过JOPENS系统提供的多种定位方法(如最小二乘法、贝叶斯估计、逆波形反演等)来确定最优的定位策略,以便于快速准确地提供地震速报。 研究方法部分详细描述了作者采用的具体定位技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值