首页 > 其他分享 >Goby 漏洞发布|Nacos Jraft 服务文件读取漏洞【已复现】

Goby 漏洞发布|Nacos Jraft 服务文件读取漏洞【已复现】

时间:2024-08-30 19:03:28浏览次数:10  
标签:服务 Jraft Nacos 漏洞 && Goby banner

漏洞名称:Nacos Jraft 服务文件读取漏洞
English Name:Nacos Jraft Services File Read Vulnerability
CVSS core: 5.0

漏洞描述:

NACOS 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。

在Nacos<=2.4.0.1版本中集群模式启动下的NACOS Jraft端口(默认值7848)存在任意文件读取的漏洞。

FOFA自检语句:

banner=“x00”&& banner=“x12” && banner=“x04” && banner=“x7f” && banner=“xff” && banner=“request”

受影响资产数量: 46338

受影响版本:

Nacos<=2.4.0.1

解决方案:

厂商已发布了漏洞修复程序,请及时关注更新:https://nacos.io/blog/announcement-nacos-security-problem-file/

漏洞检测工具:

【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞利用效果如图所示:

获取Goby:获取Goby
查看Goby更多漏洞:[Goby历史漏洞合集]
关注Goby公众号获取最新漏洞情报动态:Gobysec

标签:服务,Jraft,Nacos,漏洞,&&,Goby,banner
From: https://www.cnblogs.com/gobybot/p/18389360

相关文章

  • 某系统多款产品存在命令执行漏洞
    我不是没有尝试过,尝试安分守己,拼命干活,挣那么一点点钱,我试过,但是外面那些人,外面那些人,他们懂建筑懂盖楼吗?他们只是拿出一点点钱出来,花一点点时间,把房价炒高不断的赚大钱。你去问问他们,随便问一个人,他们的答案很简单:只是想要一间很普通很普通的房子,为什么他们要用一辈子的时......
  • 暴力破解漏洞
    前言想了很久,还是想从头开始记录我学习网络安全的艰辛路程,现在开始从头开始写博客~~刚好巩固自己的基础知识。 暴力破解是什么?BruteForce,即暴力(破解),暴力破解可分为两种,一种是针对性的密码爆破,另外一种是扩展性的密码喷洒。 密码爆破:密码爆破一般很熟悉,即针对单个账号或......
  • 电科校园邮箱系统逻辑漏洞
    校园邮件系统逻辑漏洞导致邮件轰炸邮件轰炸首先通过自己的账号登录进入邮件系统之后,进入到信息修改的界面发现存在邮箱绑定功能,在尝试绑定自己的邮箱之后,可以看到存在提示“找回密码时可以使用备用邮箱找回”。输入邮箱密码之后进入到下一个页面在此页面完成邮箱绑定,在输入......
  • SpringBoot把本地的对象封装成为Nacos的配置对象
    你需要有个NacosNacos建立你的配置文件--建议yml文件编写你的yml配置platform:transaction:properties:notifyHost:"http://10.130.1.18:${server.port.cztech-service-gateway}"smsTemplate:"TEM_0029"#订单默认过期时间--分钟defau......
  • 泛微ecology9 ModeDateService 存在SQL注入漏洞
    一、漏洞介绍泛微e-cology是⼀款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology9ModeDateService接口存在SQL注入漏洞。二、影响版本泛微ecology9三、网络测绘fofa:app="泛微-协同商务系统"hunter:app.name=="......
  • OpenSSH 存在输入验证错误漏洞(CVE-2019-16905) 解决
    1、下载文件:zlib-1.2.11.tar.gzopenssh-8.3p1.tar.gzopenssl-1.1.1g.tar.gz 2、解压升级包tar--no-same-owner-zxvfzlib-1.2.11.tar.gztar--no-same-owner-zxvfopenssh-8.3p1.tar.gztar--no-same-owner-zxvfopenssl-1.1.1g.tar.gz 3、编译安装zlibcdzli......
  • centos 7部署nacos 2.4.1版本单点方式
    文章目录Nacos:微服务架构中的服务发现与配置管理利器官方网址引言Nacos简介Nacos的核心功能1.服务发现和服务健康监测2.动态配置服务3.服务及其元数据管理Nacos的工作原理Nacos的集群部署与高可用性Nacos的使用场景如何使用Nacos1.安装Nacos2.服务注册与发现3.配......
  • XSS漏洞
    本质变量在接收数据时,数据被写成js脚本,然后进行回显操作,就被浏览器执行;js可以干什么,这个漏洞就可以干什么产生层面前端函数类echo…漏洞操作对应层危害影响js代码决定浏览器内核版本版本是否支持执行反射性发包x=sdfjlj==>x.php==>回显包存储......
  • Docker安装Nacos(docker2.0.4)
    一、准备工作1.打开目录cd/usr/local/docker/2.创建nacos文件夹mkdirnacos3.打开目录cdnacos/4.创建文件夹configmkdirconfig5.打开文件夹cdconfig/6.初始换数据库在nacos需要连接的数据库当中,创建数据库nacos_config字符集类型为utf8mb4在数据库nacos_con......
  • 前后端不分离 "老" 项目,SQL 注入漏洞处理实践
    前言接上篇的XSS漏洞处理实践,这次是针对SQL注入漏洞的处理实践。我们的后端代码,在项目初期没有使用世面上的ORM框架,而是使用spring的JdbcTemplate简单的封装了增删改查的DAO方法。然后暴露一通用的Controller层接口,这样无论是前端还是后端都更加“方便了”!前端可......