安全动态

行业动态

漏洞动态

联系方式

地址: 广州市越秀区东风东路750号广联大厦13楼1307-1309室
电话:18898400087

Nacos 内网集群Raft 反序列化漏洞

  • 漏洞编号:N/A
  • 漏洞类型:可信数据的反序列化
  • 漏洞等级:严重
  • 发布时间:2023-05-25

              

漏洞描述:

Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。该漏洞仅影响7848端口(默认设置下),一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此老版本可以通过禁止该端口来自Nacos集群外的请求达到止血目的(如部署时已进行限制或未暴露,则风险可控)。
漏洞利用实际需要访问到相应端口,实际风险可控。

 

影响版本:

1.4.0 <= Nacos < 1.4.6
2.0.0 <= Nacos < 2.2.3

 

安全版本
Nacos 1.4.6
Nacos 2.2.3

 

修复建议

官方已发布新版本中修复上述漏洞,受影响用户请尽快升级到安全版本。
参考链接:
https://github.com/alibaba/nacos/releases/tag/1.4.6

 
 

版权所有 © 2021 广州网安信息技术有限公司

粤ICP备2021096656号粤公网安备 44010402002568号