漏洞描述
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos在对部分Jraft请求处理时,使用Hessian 进行反序列化未限制而造成的RCE漏洞。
漏洞危害
1、远程代码执行(RCE):攻击者可以构造恶意的序列化数据,通过反序列化操作远程执行任意代码。获取系统权限,访问敏感数据,或者操纵系统行为。
2、信息泄露:攻击者可以利用反序列化漏洞来访问系统中存储的敏感信息,如用户凭据、数据库连接字符串、加密密钥等。这种信息泄露可能导致数据泄露。
3、拒绝服务攻击(DoS):攻击者可以构造恶意的序列化数据,导致系统崩溃或变得不可用。
检测工具
修复方法
一、临时缓解措施:
在确保业务不受影响的前提下,可暂时拦截对/nacos/v1/console/server/state接口的访问请求。
限制访问来源地址,如非必要,不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本,下载地址:https://nacos.io/download/nacos-server
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-05-25
漏洞信息更新
2025-03-24
