一、漏洞情况
Nacos 是一款构建云原生应用的服务管理平台,其在默认配置下未对密钥进行修改,导致攻击者可以绕过密钥认证进入后台,造成系统受控等后果。
二、漏洞影响
漏洞等级:高危
受影响版本如下:
0.1.0~2.2.0
三、修复建议
请立即排查本单位使用 Nacos 服务情况,并可采取禁止将Nacos 服务端口向互联网开放或仅对可信 IP 地址开放、修改用于生成 JWT 令牌的默认密钥等安全加固措施,同时密切关注 Nacos官方升级版本发布情况,第一时间更新软件,消除网络安全风险。
参考链接:https://nacos.io/zh-cn/blog/announcementtoken-secret-key.html
iMC:PLAT/EIA/EAD/EPS/WSM V7组件均不涉及该漏洞
U-Center:1.0及2.0均不涉及该漏洞
统一数字底盘:不涉及该漏洞
iMC_V9:EIA/EAD/EPS/WSM/network均不涉及该漏洞
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作