一、概要 近日,华为云关注到Nacos发布更新版本,修复了一处反序列化远程代码执行漏洞。Nacos集群在处理基于Jraft的请求时,使用hessian进行反序列化,但没有对反序列化类进行限制,导致远程代码执行。目前漏洞利用细节已公开,风险高。 Nacos是一个开源的分布式服务发现、配置管理和服务管理平台。华为云提醒使用Nacos的用户尽快...
Nacos社区于2.2.3版本修复了部分Jraft请求处理时,因使用Hessian进行反序列化未限制而造成的RCE漏洞。 该漏洞主要影响对外暴露了Jraft的7848端口(默认配置下),且版本处于1.4.0~1.4.5或2.0.0~2.2.2之间。 更多信息,请参见Release Note。 影响范围 MSE产品不受该风险影响。 说明 MSE所有的版本...
Nacos Jraft Hessian反序列化远程代码执行漏洞是一个比较严重的漏洞,可以导致攻击者远程执行恶意代码,从而危及系统安全。如果您的Nacos版本是2.1.1,建议立即升级到2.1.2版本或以上,以修复该漏洞。 在升级Nacos之前,您需要备份现有的数据和配置文件,并确保升级过程中不会影响系统正常运行。升级Nacos的方法可以参考官方文档...
近日,奇安信CERT监测到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),若部署时已进行限制或未暴露则风险可控,建议客户做好自查及防护。
PANews 6月9日消息,据慢雾区消息,Nacos出现远程代码执行漏洞攻击案例。Nacos是Alibaba开源的一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台,帮助用户快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 在处理某些基于 Jraft 的请求时,采用 Hessian 进行反序列化,但并未设置限制,导致应用存在...
近日,奇安信 CERT 监测到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。 目前,此漏洞可能被攻击者利用,鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),建议天守、天擎客户尽快进行自查,并可以禁止该端口...
近日,奇安信 CERT 监测到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。 目前,此漏洞可能被攻击者利用,鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),建议天守、天擎客户尽快进行自查,并可以禁止该端口的请求来...
近日,绿盟科技CERT监测发现到Nacos的Raft协议存在反序列化漏洞。由于Nacos集群对部分Jraft请求进行处理时,未限制使用hessian进行反序列化,从而导致攻击者可以实现代码执行。请受影响的用户尽快采取措施进行防护。 Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。它提供了一组简单易用的特性集,实现...
长亭应急响应实验室发现,Nacos 1.x在单机模式下默认不开放7848端口,故该情况通常不受此漏洞影响。然而,2.x版本无论单机或集群模式均默认开放7848端口。主要受影响的是7848端口的Jraft服务,因此,用户可据此判断自身可能的风险。 漏洞描述 Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致...