漏洞情报 | Nacos 反序列化漏洞
2023-6-8 16:37:6 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏

1.1  漏洞概述

近日,斗象科技漏洞情报中心监控到公网公开披露了Nacos 反序列化漏洞,未经身份验证的攻击者可以通过hessian反序列化进行RCE利用。

Nacos是一款开源的分布式服务发现和配置管理平台,用于帮助用户实现动态服务发现、服务配置管理、服务元数据及流量管理等功能。该漏洞仅影响7848端口(默认设置下),一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,如部署时已进行限制或未暴露,则风险可控,建议客户做好自查及防护。

1.2  影响范围

1.4.0 <= Nacos < 1.4.6

2.0.0 <= Nacos < 2.2.3

1.3  复现环境

JDK 8u191
Nacos 2.2.2

1.4  漏洞复现

1.5  修复建议

>> 1.5.1  版本升级

厂商已发布了漏洞修复程序,请使用此产品的用户尽快更新至安全版本:

Nacos 1.4.6

Nacos 2.2.3 

官方下载链接:
https://github.com/alibaba/nacos/releases
斗象情报中心补丁站下载链接:
https://vip.tophant.com/patch?keyword=/Nacos/Nacos 反序列化漏洞


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMjcyNzA5Mw==&mid=2247490921&idx=1&sn=31200ce95ca249f98c39de210679166e&chksm=96db16b3a1ac9fa54dfcb17eb9ac11440a2feb5b58544f89dc4021bcba3bbe62699d830c1aa9&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh