Nacos 集群反序列化漏洞

• 漏洞编号：暂无
  
• 漏洞类型：远程代码执行(RCE)
• 漏洞等级：高危
• 发布时间：2023-06-07

              

漏洞描述：

Nacos是一个开源的、易于使用的动态服务发现、配置和服务管理平台，适合构建云原生应用。它提供了一种统一的数据管理和服务发现解决方案。

近日，Nacos发布新版本，修复了一处远程代码执行漏洞，

在Nacos集群处理部分Jraft请求时，攻击者可以无限制使用hessian进行反序列化利用，最终实现代码执行。该漏洞仅影响7848端口。

 

影响版本：

1.4.0 <=Nacos<1.4.6

2.0.0 <=Nacos<2.2.3

 

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。

漏洞修复版本：

Nacos >= 1.4.6

Nacos >= 2.2.3

参考链接:

https://github.com/alibaba/nacos/releases/tag/1.4.6

https://github.com/alibaba/nacos/releases/tag/2.2.3