一、概要 近日,华为云关注到Nacos发布更新版本,修复了一处反序列化远程代码执行漏洞。Nacos集群在处理基于Jraft的请求时,使用hessian进行反序列化,但没有对反序列化类进行限制,导致远程代码执行。目前漏洞利用细节已公开,风险高。 Nacos是一个开源的分布式服务发现、配置管理和服务管理平台。华为云提醒使用Nacos的用户尽快...
Nacos Jraft Hessian反序列化漏洞是一个严重的安全漏洞,攻击者可以利用该漏洞远程执行代码。漏洞编号通常为CNVD-2023-45001,其影响范围包括Nacos的多个版本,如: 1.4.0 <= Nacos < 1.4.6 2.0.0 <= Nacos < 2.2.3 四、漏洞的具体影响与危害 由于该漏洞允许攻击者远程执行代码,因此它可能对系统造成严重的危害,包...
近日,奇安信CERT监测到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),若部署时已进行限制或未暴露则风险可控,建议客户做好自查及防护。 目前官方已发布安全修复更新,受...
1.漏洞描述Nacos 在处理某些基于 Jraft 的请求时,采用 Hessian 进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。Nacos 1.x 在单机模式下默认不开放 7848 端口,故该情况通常不受此漏洞影响。Nacos 2.x 版本无论单机或集群模式均默认开放 7848 端口。所以开放7848端口的naos服务可以当作该洞的一...
Nacos Jraft Hessian反序列化远程代码执行漏洞是一个比较严重的漏洞,可以导致攻击者远程执行恶意代码,从而危及系统安全。如果您的Nacos版本是2.1.1,建议立即升级到2.1.2版本或以上,以修复该漏洞。 在升级Nacos之前,您需要备份现有的数据和配置文件,并确保升级过程中不会影响系统正常运行。升级Nacos的方法可以参考官方文档...
近日,奇安信 CERT 监测到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。 目前,此漏洞可能被攻击者利用,鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),建议天守、天擎客户尽快进行自查,并可以禁止该端口的请求来...
漏洞地址:GET http://IP:端口/nacos/v1/auth/users?pageNo=1&pageSize=9 利用方式:POST http://IP:端口/nacos/v1/auth/users?username=test1&password=test1 加账户密码登录 描述 Nacos 在处理某些基于 Jraft 的请求时,采用 Hessian 进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。
近日,奇安信 CERT 监测到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。 目前,此漏洞可能被攻击者利用,鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),建议天守、天擎客户尽快进行自查,并可以禁止该端口...
长亭应急响应实验室发现,Nacos 1.x在单机模式下默认不开放7848端口,故该情况通常不受此漏洞影响。然而,2.x版本无论单机或集群模式均默认开放7848端口。主要受影响的是7848端口的Jraft服务,因此,用户可据此判断自身可能的风险。 漏洞描述 Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致...
一. 漏洞概述 近日,绿盟科技CERT监测发现到Nacos的Raft协议存在反序列化漏洞。由于Nacos集群对部分Jraft请求进行处理时,未限制使用hessian进行反序列化,从而导致攻击者可以实现代码执行。请受影响的用户尽快采取措施进行防护。 Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。它提供了一组简单易用...