影响范围
Nacos <= 2.0.0-ALPHA.1
漏洞描述
2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞,攻击者可以通过该漏洞来创建新用户账户。
漏洞复现
1、nacos默认账号和密码为nacos/nacos。遇见nacos系统可以先试试默认口令,然后再试试未授权访问漏洞是否存在。
2、查看用户列表
http://192.168.174.236:8848/nacos/v1/auth/users?pageNo=1&pageSize=1 可以通过修改pageNo参数的值来查看目标系统内所有账号。
3、添加用户test。
4、登录测试
漏洞修复
升级版本
标签:访问,29441,nacos,Nacos,漏洞,授权,Alibaba From: https://www.cnblogs.com/pursue-security/p/16976844.html