缘起 最近(2023.03.13)客户现场要求自检有无使用Nacos,原因是Nacos存在认证绕过高危漏洞,其漏洞代码NVDB-CNVDB-2023674205,本文就简单说一下这个事儿,以及如何解决这个问题。 以下内容中,Nacos服务端A简称A,Nacos服务端B简称B。 问题现象 可以使用已知账号密码的A的登录响应体,替换未知密码的B登录响应体来绕过认证,进...
recently, the Ministry of Industry and Information Technology Network Security Threat and Vulnerability Information Sharing Platform detected that the open source service management platform Nacos has an authentication bypass high-risk vulnerability (NVDB-CNVDB-2023674205), details of which are as follows...
CloudOS使用PAAS应用涉及,其他产品不涉及
缘起 最近(2023.03.13)客户现场要求自检有无使用Nacos,原因是Nacos存在认证绕过高危漏洞,其漏洞代码NVDB-CNVDB-2023674205,本文就简单说一下这个事儿,以及如何解决这个问题。 以下内容中,Nacos服务端A简称A,Nacos服务端B简称B。 问题现象 可以使用已知账号密码的A的登录响应体,替换未知密码的B登录响应体来绕过认证,进...