关于Nacos Derby远程命令执行漏洞的预警提示
2024-07-24      阅读次数: 782

一、漏洞详情

Nacos是一个服务注册与发现、配置管理平台,为微服务架构和云原生应用提供了重要的基础设施支持。

近日,监测到官方修复Nacos Derby远程命令执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Nacos <= 2.4.0-BETA

三、修复建议

目前官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复。
[功能按钮]
打印
中国・江苏・常州:常州市中吴大道1801号(213001)
TEL:0086-519-86953560 CHANGZHOU CITY JIANGSU PROVINCE CHINA
版权所有 2005-2017 江苏理工学院信息中心制作维护