编程爱好者之家
阿里云服务器收到 'Nacos 默认 secret.key 配置不当权限绕过漏洞'漏洞,接下来编程爱好者之家为大家讲解下解决方案:
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改 secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。
漏洞编号 | 危险等级 | 漏洞名称 | 漏洞特征 |
VSS | 高危 | Nacos 默认 secret.key 配置不当权限绕过漏洞 | 权限提升 |
1、根据官方文档 https://nacos.io/zh-cn/docs/auth.html 修改secret.key 为随机值,并注意保密。 2、升级至最新版本。