一、基本情况
Nacos是一个服务注册与发现、配置管理平台,为微服务架构和云原生应用提供了重要的基础设施支持。
二、漏洞描述
近日,监测到官方修复Nacos Derby远程命令执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。
三、影响范围
Nacos <= 2.4.0-BETA
四、修复建议
目前官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复。
一、基本情况
Nacos是一个服务注册与发现、配置管理平台,为微服务架构和云原生应用提供了重要的基础设施支持。
二、漏洞描述
近日,监测到官方修复Nacos Derby远程命令执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。
三、影响范围
Nacos <= 2.4.0-BETA
四、修复建议
目前官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复。
