漏洞描述:2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作

影响版本:
Nacos <= 2.0.0-ALPHA.1

漏洞地址:GET http://IP:端口/nacos/v1/auth/users?pageNo=1&pageSize=9

利用方式:POST http://IP:端口/nacos/v1/auth/users?username=test1&password=test1

使用账号test1登录,可以登录进去

修改方法:修改Nacos的application.properties配置文件 将nacos.core.auth.enabled=false 改为true,并添加nacos.core.auth.system.type=nacos

### If turn on auth system:
nacos.core.auth.enabled=true
nacos.core.auth.system.type=nacos

PS:鉴权开关是修改之后立马生效的,不需要重启服务端。
再次登录

修改应用配置文件(不然应用程序启动会报403 错误,注册不上nacos):

# Nacos 注册中心
spring.cloud.nacos.discovery.username=nacos
spring.cloud.nacos.discovery.password=nacos@#2022# Nacos 配置中心
spring.cloud.nacos.config.username=nacos
spring.cloud.nacos.config.password=nacos@#2022

Nacos 未授权访问漏洞相关推荐

  1. nacos未授权访问漏洞【原理扫描】

    解决方案 vim /nacos/conf/application.properties 添加 #开启认证配置 nacos.core.auth.enabled=true

  2. 【漏洞复现】Nacos未授权访问

    漏洞背景 2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 . 漏洞复现 本地搭建 h ...

  3. UCloud-201809-001:Redis服务未授权访问漏洞安全预警

    UCloud-201809-001:Redis服务未授权访问漏洞安全预警 尊敬的UCloud用户,您好! 发布时间  2018-09-11 更新时间  2018-09-11 漏洞等级  High CV ...

  4. Redis 4.x/5.x未授权访问漏洞

    Redis是什么? Redis是数据库,一个高性能的key-value存储系统,是使用ANSI C语言编写的. Redis未授权访问漏洞 Redis 默认情况下,会绑定在 0.0.0.0:6379,如 ...

  5. 二十八种未授权访问漏洞合集(暂时最全)

    目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 ...

  6. Redis未授权访问漏洞记录(端口:6379)

    目录 Redis 扫描 未授权登录以及利用 写入SSH公钥,进行远程登录 定时任务反弹shell 写入一句话木马 其它一句话木马 ​ 写入/etc/passwd文件 利用主从复制RCE ​ 本地Red ...

  7. MongoDB未授权访问漏洞记录(端口:27017,37017)

    一.漏洞危害 对外开放的MongoDB服务,未配置访问认证授权,无需认证连接数据库后对数据库进行任意操作(增.删.改.查高危动作),存在严重的数据泄露风险. 二.漏洞成因 MongoDB服务安装后,默 ...

  8. docker remote api未授权访问漏洞(端口:2375)

    漏洞介绍: 该未授权访问漏洞是因为docker remote api可以执行docker命令,从官方文档可以看出,该接口是目的是取代docker 命令界面,通过url操作docker. docker ...

  9. PHP-FPM Fastcgi 未授权访问漏洞(端口9000)

    漏洞原理 Fastcgi Fastcgi是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道.HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组 ...

最新文章

  1. Opencv cv2.KalmanFilter 鼠标跟踪
  2. 从 ACM 训练领悟坚持之道
  3. 面试集锦(十六)架构设计
  4. CmRegisterCallback监控注册表框架
  5. LINUX_egrep及扩展正则表达式
  6. GitHub Pages和每个项目绑定自定义域名(支持多个和顶级域名)
  7. 魅蓝x android 7,魅蓝x2什么时候发布 魅蓝x2发布时间最新消息
  8. 春节快到了,来写个烟花动效吧
  9. TCP/IP 第三章
  10. 网页抓取工具之数据预处理
  11. 全球及中国钢铁行业供需格局与未来前景分析报告2022版
  12. 密码学,有限域GF(2^8)乘法计算,不可约多项式为P(x)=x^8+x^4+x^3+x+1
  13. 李嘉诚:无霸气才能成霸业
  14. 今天来聊聊函数function func()
  15. Weblogic常见报错以及解决方法[转载]
  16. 还房贷最省钱的理财方法(转自微信公众号——紫竹张先生)
  17. 电脑怎么压缩jpg图片?上传jpg图片过大怎么办?
  18. c语言银行存钱程序,c语言银行存钱.doc
  19. 根据16进制输出所有汉字
  20. 【Sparse-to-Dense】《Sparse-to-Dense:Depth Prediction from Sparse Depth Samples and a Single Image》

热门文章

  1. 《王者荣耀》的英雄是怎么诞生的?有没有最厉害的英雄?
  2. Oralce梳理---爱了嘛
  3. ChatGPT,又爆了!
  4. 【C语言】scanf函数详解(常见问题处理)
  5. WIN 10系统丢失MSVCR110.dll和MSVCP110.dll问题
  6. 【向生活低头】wps一行中文和英文分散对齐
  7. Unity中基于三角剖分 实现三维城市实时构建
  8. 浙江绍兴旅游:“兰亭集序”残缺的美
  9. 三、javase中类、对象相关概念
  10. 分页功能的分析与实现