严重
Alibaba Nacos Jraft 反序列化漏洞
披露时间:
2023-05-25
更新时间:
2025-02-10
CT 编号
CT-750794
CVE 编号
N/A
CNVD 编号
CNVD-2023-45001
CNNVD 编号
N/A
原理分类
反序列化漏洞
漏洞评分
9.8
漏洞描述
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos在对部分Jraft请求处理时,使用Hessian 进行反序列化未限制而造成的RCE漏洞。
漏洞危害
1、远程代码执行(RCE):攻击者可以构造恶意的序列化数据,通过反序列化操作远程执行任意代码。获取系统权限,访问敏感数据,或者操纵系统行为。
2、信息泄露:攻击者可以利用反序列化漏洞来访问系统中存储的敏感信息,如用户凭据、数据库连接字符串、加密密钥等。这种信息泄露可能导致数据泄露。
3、拒绝服务攻击(DoS):攻击者可以构造恶意的序列化数据,导致系统崩溃或变得不可用。
检测工具
远程检测工具下载
xpoc -r 100 -t 扫描目标
本地检测工具下载
./nacos_raft_deserialization_rce_scanner_linux_amd64 scan --output result.json
修复方法
官方已发布安全修复版本,建议受影响的用户升级至Alibaba Nacos 1.4.6,2.2.3或之后的版本
下载地址:https://github.com/alibaba/nacos/releases/tag/1.4.6
https://github.com/alibaba/nacos/releases/tag/2.2.3
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
漏洞披露
2023-05-25
漏洞信息更新
2025-02-10
