一、漏洞概述
漏洞名称:Nacosderby 接口SQL 注入导致RCE 漏洞
漏洞等级:高危
漏洞描述:Nacos 是一个用于动态服务发现和配置以及
服务管理的平台,Derby 是一个轻量级的嵌入式数据库。接
口/nacos/v1/cs/ops/derby 和
/nacos/v1/cs/ops/data/removal 在使用Derby 数据库作为
内置数据源时。用于运维人员进行数据运维和问题排查,在
使用standalone 模式启动Nacos 时,为了避免因搭建外置
数据库而占用额外的资源,会使用Derby 数据库作为数据源。
受影响版本的Nacos 默认未开启身份认证,/data/removal
接口存在条件竞争漏洞,攻击者可借此接口执行恶意SQL,
加载恶意jar 并注册函数,随后可以在未授权条件下利用
derbysql 注入漏洞(CVE-2021-29442)调用恶意函数来执行
恶意代码。此前官方开发者认为属于功能特性,未做处理,
后在2.4.0 版本中通过增加derbyOpsEnabled 选项默认关闭
derby 接口来避免被滥用。
二、影响范围
nacos 2.3.2
nacos 2.4.0
三、修复建议
1.将组件com.alibaba.nacos:nacos-config 升级至
2.4.0 及以上版本
2.将组件nacos 升级至2.4.0 及以上版本
防火墙,IPS,LB不没有使用相关漏洞组件,所以不涉及该漏洞。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作