Nacos 默认 secret.key 配置不当权限绕过漏洞

阿里云服务器收到 'Nacos 默认 secret.key 配置不当权限绕过漏洞'漏洞，接下来编程爱好者之家为大家讲解下解决方案：

一：漏洞简介

Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改 secret.key，则攻击者可利用默认secret.key生成JWT Token，从而造成权限绕过访问到相关API接口。

二.漏洞描述

漏洞编号	危险等级	漏洞名称	漏洞特征
VSS	高危	Nacos 默认 secret.key 配置不当权限绕过漏洞	权限提升

三.解决方案

1、根据官方文档 https://nacos.io/zh-cn/docs/auth.html 修改secret.key 为随机值，并注意保密。
2、升级至最新版本。