Nacos未授权访问漏洞 修复方法

漏洞概述2020年12月29日，Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞，攻击者可以进行任意操作，包括创建新用户并进行登录后操作。影响版本Nacos <= 2.0.0-ALPHA.1修复方式若业务环境允许，使用白名单限制相关web项目的访问来降低风险。官方已发布最新安全版本，请及时

梵法利亚

8685人浏览 · 2021-12-13 09:50:49

梵法利亚  ·  2021-12-13 09:50:49 发布

漏洞概述

2020年12月29日，Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞，攻击者可以进行任意操作，包括创建新用户并进行登录后操作。

影响版本

Nacos <= 2.0.0-ALPHA.1

修复方式

若业务环境允许，使用白名单限制相关web项目的访问来降低风险。
官方已发布最新安全版本，请及时下载升级至安全版本。

# 安全

开放原子开发者工作坊

开放原子开发者工作坊旨在鼓励更多人参与开源活动，与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动，如meetup、训练营等，主打技术交流，干货满满，真诚地邀请各位开发者共同参与！

加入社区

更多推荐

• · 以智能 致世界 | 操作系统大会2024议程全览
• · 开放原子开源基金会新增捐赠人（2024年9月）
• · 2024开放原子开发者大会议题征集正式开启

以智能 致世界 | 操作系统大会2024议程全览

开放原子开发者工作坊

开放原子开源基金会新增捐赠人（2024年9月）

2024年9月，新增以下单位成为开放原子开源基金会及旗下项目捐赠人。

开放原子开发者工作坊

2024开放原子开发者大会议题征集正式开启

2024开放原子开发者大会（以下简称“大会”）将于12月中旬重磅来袭,2024开放原子开发者大会议题征集正式开启!

开放原子开发者工作坊

欢迎加入社区

取消 确定