共计 480 个字符,预计需要花费 2 分钟才能阅读完成。
去年部署了单机模式的 nacos 并开放了公网,然后今天才发现在 520 有一个陌生的配置写进来了,
dataId=nacos.cfg.dataIdfoo,配置内容为 helloworld
ip 是美国的
google 了一下“nacos.cfg.dataIdfoo”,发现了 nacos 存在鉴权绕过的漏洞,《GHSL-2020-325: Authentication bypass in Nacos – CVE-2021-29441, CVE-2021-29442》
在 github 仓库也发现了对应的 issue,Report a security vulnerability in nacos to bypass authentication
并且论坛也曾经有人讨论过,nacos 出现严重安全漏洞
这个漏洞 21 年就被发现了,然而我去年在根据文档部署的时候,丝毫没有注意到关于该鉴权的强调,刚刚回头去看了眼文档,在 [权限认证] 的子栏目,才发现上面赫然写着:
Nacos 是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。
只好赶忙把 nacos 服务下掉了,如果有兄弟们部署了最好自查一下。
正文完
