高危 Nacos 默认 secret.key 配置不当权限绕过漏洞
CVE编号
N/A利用情况
POC 已公开补丁情况
官方补丁披露时间
2023-03-14漏洞描述
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改 secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。 Nacos 官方于 2023年3月2日发布 2.2.0.1 版本。该版本移除了默认鉴权插件中依赖的nacos.core.auth.plugin.nacos.token.secret.key默认值,在部署新版本时必须要输入自定义的有效token.secret.key 用于登陆后的accessToken生成。 本变更避免开源用户直接使用默认配置时出现的安全风险,提升了开源组件使用的安全性。 旧版本不是必须升级到这个版本, 只需要根据文档修改对应token.secret.key即可修复问题。解决建议
1、根据官方文档 https://nacos.io/zh-cn/docs/auth.html 修改secret.key 为随机值,并注意保密。2、升级至最新版本。
参考链接 |
|
|---|---|
| https://github.com/alibaba/nacos/pull/9992 | |
| https://github.com/nacos-group/nacos-group.github.io/pull/353/commits/b621eaf... | |
| https://nacos.io/zh-cn/docs/auth.html |
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 POC 已公开
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-281 | 权限预留不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论