目录
一、漏洞描述
1.1、Nacos简介
Nacos 是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。
1.2、漏洞影响
漏洞概述
Nacos 身份认证绕过漏洞(QVD-2023-6271),开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。该系统通常部署在内网,用作服务发现及配置管理,历史上存在多个功能特性导致认证绕过、未授权等漏洞,建议升级至最新版本或修改默认密钥,并禁止公网访问,避免给业务带来安全风险。
影响版本
nacos <=2.2.0
二、环境搭建
下载地址
下载链接:https://pan.baidu.com/s/1Ia7MIvF97mHcQF3lE27pbw?pwd=z64e 提取码:z64e
环境搭建
环境下载好后解