严重
Nacos /v1/cs/ops/data/removal 远程代码执行漏洞
披露时间:
2024-07-15
更新时间:
2025-02-10
CT 编号
CT-1374034
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
远程代码执行
漏洞评分
9.8
漏洞描述
Nacos是一个开源的服务发现和配置管理平台,专门为微服务架构设计,用于帮助构建动态服务发现、服务配置管理、服务元数据及流量管理。2024年7月,互联网披露了一个Nacos的漏洞利用。攻击者可利用该漏洞获取系统权限。
漏洞危害
可能导致的危害包括但不限于:
- 完全控制服务器:攻击者可以执行系统命令,获取服务器的完全控制权。
- 数据泄露:攻击者可以访问、修改或删除服务器上的敏感数据。
- 网站篡改:攻击者可以修改网站内容,进行钓鱼攻击或其他形式的欺诈。
- 持久性后门:攻击者可以在服务器上安装后门,以便未来随时访问。
- 服务中断:攻击者可以通过破坏服务器正常运行来导致服务中断。
修复方法
- 作为安全建议,强烈建议启用 Nacos 鉴权。
- 使用外部数据库作为 Nacos 的数据库。
- 使用WAF等安全设备进行防护。
- 在不影响业务的情况下配置URL访问控制策略。
- 限制访问来源地址,如非必要,不要将系统开放在互联网上。
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
漏洞披露
2024-07-15
漏洞信息更新
2025-02-10
