Nacos 默认 secret.key 配置不当权限绕过漏洞
2023-03-20 16:49:58
328
阿里云服务器收到 'Nacos 默认 secret.key 配置不当权限绕过漏洞'漏洞,接下来编程爱好者之家为大家讲解下解决方案:
一:漏洞简介
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改 secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。
二.漏洞描述
| 漏洞编号 | 危险等级 | 漏洞名称 | 漏洞特征 |
| VSS | 高危 | Nacos 默认 secret.key 配置不当权限绕过漏洞 | 权限提升 |
三.解决方案
1、根据官方文档 https://nacos.io/zh-cn/docs/auth.html 修改secret.key 为随机值,并注意保密。 2、升级至最新版本。
同类文章
-
Could not resolve host: mirrors.cloud.aliyuncs.com; Unknown error
-
permission denied是什么意思呢-怎么解决permission denied的问题
-
centos7安装配置svn服务器
-
linux安装ipset封ip
-
RHSA-2021:0221: sudo 安全更新-中危
-
网站配置SSL证书(https),使网站可以通过https访问
-
centos7安装memcached以及php7的memcached拓展
-
linux通过rsync命令将一个服务器上文件备份到另一个服务器上
-
CentOS 7 安装 LNMP 环境
-
Linux常用到的命令总结(13)--备份