alibaba nacos 未授权访问漏洞
- cnnvd编号:未知
- 危害等级: 高危
- cve编号:未知
- 漏洞类型: 未授权访问
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-01-13
- 更新时间:2021-01-13
漏洞简介
1、组件介绍
nacos 致力于帮助发现、配置和管理微服务。nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。nacos 帮助更敏捷和容易地构建、交付和管理微服务平台。nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。
2、漏洞描述
2020年12月29日,nacos官方在github发布的issue中披露alibaba nacos 存在一个由于不当处理user-agent导致的未授权访问漏洞。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。
漏洞公示
暂无
参考网站
暂无
受影响实体
目前受影响的alibaba nacos版本:
nacos <= 2.0.0-alpha.1
补丁
目前厂商未发布升级补丁修复漏洞,请受影响用户时刻关注官方信息。官方链接如下:
