北京赛克艾威科技有限公司 2023-06-06
Nacos是一个开源的、易于使用的动态服务发现、配置和服务管理平台,适合构建云原生应用。它提供了一种统一的数据管理和服务发现解决方案。 Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。
fofa:app="NACOS"
1.4.1 <= Nacos < 1.4.6 使用cluster集群模式运行
1.4.0、2.0.0 <= Nacos < 2.2.3 任意模式启动均受到影响
攻击者可利用该漏洞在目标系统上执行任意代码。
1、临时缓解方案:
对外限制开放7848端口,一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此老版本可以通过禁止该端口来自Nacos集群外的请求达到止血目的(如部署时已进行限制或未暴露,则风险可控)。
2、升级修复方案:
官方已发布新版本修复了该漏洞,可下载参考链接中的最新版本进行升级。
https://github.com/alibaba/nacos/releases/tag/2.2.3
https://github.com/alibaba/nacos/releases/tag/1.4.6