Nacos 身份认证绕过漏洞修复
漏洞影响范围
受影响的Nacos版本:
0.1.0 <= Nacos <= 2.2.0
升级解决方案
用户可以升级到 Nacos 2.2.0.1版本进行漏洞修复:
https://github.com/alibaba/nacos/releases/tag/2.2.0.1
升级步骤:
1、解压安装nacos
2、进入nacos/conf
3、修改application.properties
在第153行次nacos.core.auth.plugin.nacos.token.secret.key=后添加SecretKey012345678901234567890123456789012345678901234567890123456789
即可。例如:
149 ### worked when nacos.core.auth.system.type=nacos
150 ### The token expiration in seconds:
151 nacos.core.auth.plugin.nacos.token.expire.seconds=18000
152 ### The default token (Base64 String):
153 nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789
154
4、保存退出,启动nacos