文章目录
漏洞描述
- 2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。
- Nacos 致力于帮助发现、配置和管理微服务。
- Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。
- Nacos 帮助更敏捷和容易地构建、交付和管理微服务平台。
- Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。
影响范围
- Nacos <= 2.0.0-ALPHA.1
- 通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作
漏洞类型
- 未授权访问
环境搭建
第一步 下载
下载地址:https://github.com/alibaba/nacos/releases/tag/2.0.0-ALPHA.1