探索 Nacos反序列化漏洞CNVD-2023-45001

最新推荐文章于 2025-04-15 16:49:02 发布
最新推荐文章于 2025-04-15 16:49:02 发布
阅读量1.1k 收藏 5
点赞数 5
分类专栏: 漏洞 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44002151/article/details/137979779
版权

在软件开发领域,安全漏洞是一项不容忽视的重要问题。最近,我们的安全团队发现了一个影响到我们的Nacos 2.1.0版本的反序列化漏洞,可能带来严重的安全威胁。我们已经立即采取了修复措施。本文将深入探讨这些漏洞的原理、可能造成的影响,以及修复方法。

_20240419223955.jpg

漏洞详情

  • 公开日期:2023-06-08

  • 漏洞编号:CNVD-2023-45001

  • 危害等级:高危

  • 漏洞描述:该漏洞源于 Nacos 集群处理部分 Jraft 请求时,未限制使用 hessian 进行反序列化,由于 Nacos 默认监听 7848 端口处理 Raft 协议请求,攻击者可以通过向 7848 端口发送恶意构造的数据包利用该漏洞,最终执行任意远程代码。

  • 漏洞影响产品

    1.4.0 <= Alibaba Nacos < 1.4.6 使用cluster集群模式运行

    2.0.0 <= Alibaba Nacos < 2.2.3 任意模式运行

  • 漏洞处置建议

    用户可参考如下供应商提供的安全公告获得补丁信息:

    https://github.com/alibaba/nacos/releases/tag/2.2.3/

漏洞修复方法

我们使用的是cluster 模式启动的nacos:2.1.0的版本,也是在这个漏洞的影响范围之内,我们的解决方案

最低0.47元/天 解锁文章
nacos 2.2.2 反序列化
weixin_45805993的博客
09-19 1183
漏洞描述 Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。 触发点分析 https://github.com/alibaba/nacos/pull/10542/files 可以看出来是SerializerFactory的锅 定位 src/main/java/com/alibaba/nacos/consistency/serialize/HessianSerializer.java 使用类为com/alibaba/nacos/
渗透测试实战-菠菜站渗透测试(Nacos反序列化漏洞利用)_nacos jraft hessian反序列化漏洞
zzz6583zz的博客
08-28 1097
成功拿下了菠菜网站的服务器,进行了远程桌面连接,通过最后登录和公网IP的查找也发现该服务器是一台云主机感觉这次渗透一切都太顺利,服务器完全不设防,历史漏洞也没有修复,没什么技术含量,主要是对各种工具的使用,各位大佬当爽文看就行,希望以后大家做渗透测试的时候也都能碰到这样的站点从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
【严重】Nacos 集群Raft反序列化漏洞
murphysec的博客
06-07 4090
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Nacos是一个用于动态服务发现和配置以及服务管理的平台。
阿里巴巴开源Nacos漏洞大揭秘:从隐患排查到完美修复
最新发布
小相探索IT世界
04-15 1257
Nacos 作为云原生应用中不可或缺的服务发现与配置管理平台,其安全问题不容忽视。我们详细剖析了 Nacos 常见的未授权访问漏洞、伪造 token 漏洞、Hessian 反序列化漏洞以及 Derby 数据库远程代码执行漏洞 ,这些漏洞一旦被利用,会给企业带来数据泄露、业务中断和声誉受损等严重后果。针对这些漏洞,我们也提出了一系列全面的解决方案,包括及时升级到最新版本,获取官方修复补丁;对配置文件进行加固,开启鉴权、关闭 userAgentAuthWhite 以及修改 token.secret.key;
Nacos集群Raft反序列化漏洞-修复
epmgy315的博客
06-08 3500
近日,奇安信CERT监测到Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),若部署时已进行限制或未暴露则风险可控,建议客户做好自查及防护。 目前官方已发布安全修复更新,受影响用户可以升级到Nacos 1.4....
Nacos升级到2.2.3 解决Jraft Hessian反序列漏洞
l_mmf的博客
09-11 1374
【升级NacosNacos升级到2.2.3 解决Jraft Hessian反序列漏洞
Nacos历史漏洞复现(汇总)
qq_55202378的博客
08-18 7215
这个漏洞其实可以说是CVE-2021-29442的更深层次利用,在上文中我们分析了,Derby未授权SQL注入利用的是/derby这个路由,但是限制了语句必须为select开头的即查询语句,而仅仅是查询语句就无法RCE。:nacos带有一个嵌入式的小型数据库derby,而在版本<=1.4.0的默认配置部署nacos的情况下,它无需认证即可被访问,并执行任意sql查询,导致敏感信息泄露。简单来说就是将远程服务器上的jar包导入数据库,就可以动态调用类中的static方法),也就是所谓组合拳RCE。
Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞的检测).zip
03-05
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用!...Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞反序列化漏洞的检测及其利用).zip
从0认识+识别+掌握nacos漏洞(攻防常见洞)带指纹表和利用工具
milu_Sec的博客
12-31 4758
还是按照之前的文章结构。
Nacos漏洞综合利用工具v6.0
Wulai399的博客
05-20 2675
全网最强nacos漏洞综合利用工具
Nacos 存在JWT密钥硬编码漏洞(MPS-2023-7982)
murphysec的博客
03-15 2056
Nacos 是一个动态服务发现、配置和管理的平台,可用于构建云原生应用程序。 该项目受影响版本存在硬编码漏洞。由于Nacos鉴权时采用默认的token.secret.key,远程攻击者可自行构造JwtToken绕过密钥认证进入后台,进而操控系统。
附录(Nacos 反序列化漏洞初步探针)
kkdgyb6的博客
06-12 1056
在deserialize方法中,我们通过指定泛型类型T来确定反序列化后的具体类型,并将反序列化得到的对象强制转换为T类型,并返回该对象。需要注意的是,在调用deserialize方法时,由于我们指定了泛型类型T,编译器会根据T的具体类型来推断反序列化后的对象类型,并生成合适的代码进行类型转换。因此,通过定义一个重载的deserialize方法,我们可以在不使用泛型参数的情况下指定反序列化后的具体类型,并且可以使用Type类型表示更多类型的对象,从而提高代码的灵活性和可扩展性。
Nacos 反序列化漏洞初步探针
kkdgyb6的博客
06-12 3476
方法首先创建一个ByteArrayOutputStream对象和一个Hessian2Output对象,将ByteArrayOutputStream对象传递给Hessian2Output的构造函数进行初始化,然后通过调用setSerializerFactory方法设置序列化工厂,之后调用writeObject方法将对象写入输出流中,并通过close方法关闭Hessian2Output对象,最后返回ByteArrayOutputStream对象中的字节数组。例如,攻击者可以将类路径或类名随意修改,借此利用。
反序列化工具_Hessian反序列化RCE漏洞复现及分析
weixin_40003512的博客
12-02 1533
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在反序列化RCE问题。使用marshalsec项目工具(https://github.com/mbechler/...
Nacos身份绕过漏洞复现(QVD-2023-6271)
cangyu51462的博客
04-23 4113
Nacos身份绕过漏洞复现(QVD-2023-6271)
Nacos 漏洞利用
热门推荐
huangyongkang666的博客
01-03 1万+
在src挖掘中碰到的漏洞,于是了解了一下该漏洞漏洞的利用方式
Nacos身份绕过漏洞(QVD-2023-6271)复现学习
dzqxwzoe的博客
03-01 1158
本文仅做复现,不做分析!其实就是默认keyshiro550exchange的jwt伪造等,都是类似的问题。Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。目前Nacos身份认证绕过漏洞(),开源服务管理平台Nacos在默认配置下未对进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。基本上都受到了影响,最新的版本已修复漏洞
nacos漏洞复现
03-26
#### Jraft Hessian反序列化漏洞(CNVD-2023-45001) 由于内部组件Jraft采用了Hessian协议处理通信消息,而后者可能存在危险函数调用风险,所以一旦输入未经严格校验的数据包就可能导致远程代码执行后果严重危害极大...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

修己xj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值