欢迎user
新华三盾山实验室
2023/06/06
Nacos(Dynamic Naming and Configuration Service)是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。Nacos 提供注册中心、配置中心和动态 DNS 服务三大功能,能够无缝对接Springcloud、Spring、Dubbo等流行框架。近日,新华三盾山实验室监测到Nacos集群Raft反序列化漏洞相关信息,攻击者利用该漏洞可通过反序列化利用实现执行恶意代码。
由于Nacos集群中存在Raft反序列化漏洞,在Nacos集群处理部分Jraft请求时,恶意攻击者可以通过使用hessian进行反序列化利用,从而实现代码执行。(注:该漏洞在Nacos默认配置下仅影响集群间的7848通信端口)
1.4.0 <= Nacos < 1.4.6
2.0.0 <= Nacos < 2.2.3
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 中等 |
漏洞评分 | 7.5 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:
https://github.com/alibaba/nacos/releases/tag/1.4.6
https://github.com/alibaba/nacos/releases/tag/2.2.3
1、禁止7848端口(默认配置下)的请求