Nacos提权漏洞修复

最新推荐文章于 2024-09-14 23:41:15 发布
原创 最新推荐文章于 2024-09-14 23:41:15 发布 · 3.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #安全 #开发语言

漏洞详情

Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改 secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。

Nacos 官方于 2023年3月2日发布 2.2.0.1 版本。该版本移除了默认鉴权插件中依赖的nacos.core.auth.plugin.nacos.token.secret.key默认值,在部署新版本时必须要输入自定义的有效token.secret.key 用于登陆后的accessToken生成。

修复建议

  1. 根据官方文档修改secret.key 为随机值,并注意保密。
  2. 升级至最新版本

修复过程

Nacos版本 2.2.0

修改Nacos配置文件

在这里插入图片描述

  1. secret.key 使用随机密码生成的Base64
  2. 开启鉴权:nacos.core.auth.enabled = true

修改项目配置

在这里插入图片描述

spring:
  cloud:
    nacos:
      discovery:
        password: nacos
        username: nacos
        server-addr: 127.0.0.1:8848
      config:
        password: nacos
        username: nacos
        server-addr: 127.0.0.1:8848

注册中心和配置中心用户名密码添加

启动服务

java.lang.IllegalStateException: failed to req API:/nacos/v1/ns/instance after all servers([localhost:8848]) tried: failed to req API:localhost:8848/nacos/v1/ns/instance. code:403 msg: <html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>Tue Nov 08 15:00:14 CST 2022</div><div>There was an unexpected error (type=Forbidden, status=403).</div></body></html>
	at com.alibaba.nacos.client.naming.net.NamingProxy.reqAPI(NamingProxy.java:464)
	at com.alibaba.nacos.client.naming.net.NamingProxy.reqAPI(NamingProxy.java:386)
	at com.alibaba.nacos.client.naming.net.NamingProxy.deregisterService(NamingProxy.java:205)
	at com.alibaba.nacos.client.naming.NacosNamingService.deregisterInstance(NacosNamingService.java:244)

如果发现报403错误,是Nacos版本问题

在这里插入图片描述
过滤nacoa自带的client,引入新版本。

版本更新后就可以正常启动。

踩坑:

开启鉴权后,在Nacos管理端修改Nacos密码,点击提交会提示权限校验失败,但此时密码其实已经更改了。这块要注意。

小码氓
关注
nacos2.2.1安装教程
dwh19992018的博客
03-24 4293
本文将介绍在Windows环境下,Nacos 2.2.1版本的下载安装教程。
Nacos(3.0以上)的详细教程(下载注册启动)
最新发布
2301_77233334的博客
10-06 2021
今天下载nacos3.0以上版本,发现启动nacos遇到了一个问题。如下图:这个问题官方给出了解释:Nacos从3.0.0版本开始默认启用控制台鉴功能,因此如下3个鉴相关配置必须填写。如何解决呢?往下看。作用:用于生成和验证 JWT Token 的加密密钥(签名密钥)要求:必须是一个Base64 编码的字符串,长度 ≥32 字符原理描述: 当你用账号密码登录 Nacos Web 界面时,Nacos 服务器会验证通过后,返回一个 Token(令牌),
生成nacos有效的32位nacos.core.auth.plugin.nacos.token.secret.key
qq_45621643的博客
12-07 5007
维护生产环境修复认证漏洞让升级nacos,风险太大改成更改自定义key
Nacos-默认token.secret.key-配置不当限绕过漏洞复现
y995zq的博客
04-12 8242
使用JWT时,通常需要使用密钥对token进行签名,确保token在传输过程中不被篡改。,开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。在构造时要注意下时间戳,需要换算一下,比你系统时间要晚一些,比如当前时间时2024年4月12日,在时间戳时间时13日。在登录请求中,拦截数据包,添加Authorization信息,拦截放回包后放包。访问两个网站,一个是时间戳网站,一个是JWT的。
Nacos未授和身份认证漏洞修复
zyfmeng的博客
12-27 4746
nacos未授及弱身份认证漏洞修复
Nacos客户端漏洞修复
u011460470的博客
09-14 1729
Nacos客户端漏洞修复
spring 微服务nacos未授访问漏洞修复
whandgdh的博客
06-17 8013
spring 微服务nacos未授访问漏洞修复
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 4240
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
Nacos漏洞修复Nacos未授访问漏洞(CVE-2021-29441)
m0_52985087的博客
03-20 1万+
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
修复nacos漏洞问题SQL注入CNVD-2020-67618、未授访问CVE-2021-29441等
kaopuzong的博客
02-06 4145
修复nacos漏洞问题:漏洞1:SQL注入CNVD-2020-67618 漏洞2:未授访问CVE-2021-29441 漏洞3:token.secret.key默认配置QVD-2023-6271 漏洞4:Jraft Hessian反序列化CNVD-2023-45001
Nacos认证绕过漏洞修复
LOOPY_Y的博客
06-11 4202
nacos认证绕过漏洞修复
NACOS漏洞问题及修复(CVE-2021-29441)
热门推荐
Hoopy_Hoopy的博客
09-14 2万+
目录 1.漏洞相关问题 2.场景复现 2.1访问用户列表界面 2.2添加新用户 2.3再次查看用户列表 3.nacos升级 4.代码升级 1.漏洞相关问题 漏洞相关地址 CVE-2021-29441 - Nacos is a platform designed for dynamic service discovery and configuration and service management. - CVE-Searchhttps://cve.circl.lu/cve/CVE-20
Nacos安全漏洞修复方案:保护您的应用服务
修己xj的博客
06-16 3147
尊敬的家人们,大家好!在过去的几年中,Nacos作为阿里巴巴推出的一项开源项目,为云原生应用的构建和管理供了许多便利。然而,最近发现了一个安全漏洞,该漏洞可能导致未经授的用户获取到敏感信息。为了确保您的应用程序的安全性,我们将在本文中向您介绍修复Nacos漏洞的方案
Nacos 修复 Tomcat 信息泄露漏洞CVE-2024-21733
eyeofeagle的博客
08-22 1628
漏洞名称:Apache Tomcat 信息泄露漏洞 漏洞编号:CVE-2024-21733 漏洞等级:高危 影响版本:Apache Tomcat 9.0.0-M11 至 9.0.43, Apache Tomcat 8.5.7 至 8.5.63 安全建议:目前该漏洞已经修复,受影响用户可升级到以下版本: Apache Tomcat >= 9.0.44 Apache Tomcat >= 8.5.64Apache Tomcat版本9.0.0-M11 - 9.0.43、8.5.7 - 8.5.63中均存在该信息泄露
速报:Nacos最新0day漏洞的临时修补方案
ABC_123的博客
07-15 909
Part1 前言大家好,我是ABC_123。今天下午github上有网友公布了最新的nacos远程代码执行漏洞及exp,目前官方补丁还没出来,这里ABC_123给大家供一个临时的漏洞修补方案。Part2 技术研究过程首先这个nacos的0day漏洞是真实存在的,危害是很严重的,再者这是一个登录后台才能利用的漏洞,而且出网才能利用。有网友会说,有的nacos不需要登录后台也能打,那是因为所...
Nacos漏洞总结复现
heike_Ch的博客
04-23 1955
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
nacos sql注入漏洞修复
03-19
### Nacos SQL 注入漏洞修复方案 Nacos 是阿里巴巴开源的一款动态服务发现、配置管理和服务管理平台。由于其广泛的应用场景,在实际部署过程中可能会面临安全威胁,例如 SQL 注入攻击。以下是针对 Nacos 中可能存在...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值