nacos权限绕过及未授权访问(CVE-2021-29441)漏洞解决方案

最新推荐文章于 2025-10-13 10:04:37 发布
原创 最新推荐文章于 2025-10-13 10:04:37 发布 · 1.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#普元EOS8低代码开发平台

【问题描述】

nacos权限绕过漏洞(CVE-2021-29441)及未授权访问漏洞解决方案。

nacos1.x版本如何升级到2.0.0版本?nacos开启权限认证,如何配置,应用如何配置?

【问题解答】

1.在nacos官网下载,建议下载版本2.0.0.bugfix

2.创建mysql数据库,并初始化数据库,{nacos-server-2.0.0安装目录}\nacos\conf\nacos-mysql.sql

3.修改nacos启动脚本,将nacos默认的集群版修改为"standalone"

4.{nacos-server-2.0.0安装目录}\nacos\lib下放驱动

5.{nacos-server-2.0.0安装目录}\nacos\conf\application.properties,放开如下注释并按实际配置。其他请按实际所需配置

6.启动验证,访问http://ip:8848/nacos,默认用户名密码nacos/nacos

最低0.47元/天 解锁文章
Ruoyi-Cloud-Plus_Nacos配置服务漏洞CVE-2021-29441_官方解决方法以及_修改源码解决---SpringCloud工作笔记199
添柴程序猿的专栏
02-02 1023
Nacos是Alibaba的一个动态服务发现、配置和服务管理平台。修改方法是:在Nacos项目的application.properties文件中,添加一下的配置。这个时候:再去其他服务中修改配置文件,主要是nacos的注册部分,除了添加注册地址,还有,加上。配置以后再启动,然后再去,访问之前的api就会显示403,没问题了.这个时候,启动其他服务以后,就会出现注册不到nacos的情况。拦截一下地址,当访问地址是这个地址的时候,直接,拦截器中返回。上面的情况.会通过这个接口就可以添加用户了。
CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考
Q54665642ljf的博客
09-08 7511
在此之前,已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析,它和CVE-2022-22978漏洞产生原理上,本质是一样的。在分析这两个漏洞后,结合今年kcon议题《自动化API漏洞Fuzz实战》,产生了对漏洞挖掘关注点的一些思考。
Nacos权限认证绕过(CVE-2021-29441)详解
cfggbfxdgbb的博客
07-30 1466
摘要:Nacos<=2.0.0-ALPHA.1版本存在未授权漏洞,攻击者通过修改User-Agent为"Nacos-Server"可绕过认证。漏洞允许未授权查看用户列表(含BCrypt加密密码)和添加任意用户,成因在于AuthFilter.java中未严格校验User-Agent,匹配"Nacos-Server"即放行请求。该问题实为开发者预留的后门逻辑,在2.0.0正式版后修复。
Nacos漏洞修复】Nacos未授权访问漏洞(CVE-2021-29441)
m0_52985087的博客
03-20 1万+
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
Nacos漏洞实战
最新发布
菜鸟的自学之路
10-13 899
Nacos漏洞
漏洞预警:Nacos权限绕过漏洞复现(CVE-2021-29441)
yuanlirong22的专栏
02-19 1983
漏洞预警:Nacos权限绕过漏洞复现(CVE-2021-29441)
Alibaba Nacos权限认证绕过漏洞[CVE-2021-29441]
m0_54323635的博客
08-31 2041
Alibaba Nacos是阿里巴巴的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 该漏洞Nacos在进行认证授权操作时,会先判断user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。
【渗透实战】Nacos未授权访问CVE-2021-29441
Nafia的博客
02-20 7394
Nacos未授权访问漏洞挖掘记录
nacos权限绕过漏洞(CVE-2021-29441)修复
热门推荐
优快云HmCxy的博客
09-16 2万+
漏扫出服务器的nacos1.2.1版本存在权限绕过漏洞(CVE-2021-29441)漏洞,给出的建议是升级到最新版本,后面去nacos官网当时最新版本是2.0.3,果断换成了当时最新的再让安全人员漏扫发现还是存在,明明官网已经说2.0.0以上版本已经修复了,怎么还是被扫到呢?通过网上翻看资料得到如下解决办法: 1、修改 nacos的application.properties配置文件,开启服务身份识别功能 ### 开启鉴权 nacos.core.auth.enabled=true ### 关闭使用use
CVE-2024-22257: Spring Security AuthenticatedVoter 权限绕过漏洞及其在nacos中的修复
资源摘要信息:"Spring Security AuthenticatedVoter 权限绕过漏洞CVE-2024-22257)影响了使用Spring Security框架的nacos版本。该漏洞存在于AuthenticatedVoter组件中,这是一个用于控制用户权限访问的投票机制。...
Nacos安全漏洞修复方案:保护您的应用服务
修己xj的博客
06-16 3143
尊敬的家人们,大家好!在过去的几年中,Nacos作为阿里巴巴推出的一项开源项目,为云原生应用的构建和管理提供了许多便利。然而,最近发现了一个安全漏洞,该漏洞可能导致未经授权的用户获取到敏感信息。为了确保您的应用程序的安全性,我们将在本文中向您介绍修复Nacos漏洞的方案
Nacos 身份认证绕过漏洞(已修复)
weixin_58642210的博客
11-14 2162
Nacos 身份认证绕过漏洞
Nacos 漏洞汇总
Bird&Bird
03-11 1万+
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。 该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-S
Nacos权限绕过漏洞(CVE-2021-29441)复现
大大怪将军,你来啦!
04-14 8119
CVE-2021-29441Nacos 组件中的一个权限验证漏洞,该漏洞允许未授权的攻击者绕过认证,进而获取服务器的敏感信息或执行未授权操作。把请求头中GET请求改成POST,User-Agent中的参数换成Nacos-Server,然后我添加了一个用户nbacba,密码一样。我们可以看见有一个叫nacos的用户,密码通过盐加密方法加密(nacos的初始用户名和密码都为nacos,有时候可以碰碰运气)升级 Nacos 到安全版本:Nacos 官方已发布修复此漏洞的版本。返回值为200,可以正常访问
nacos未授权-CVE-2021-29441复现
crowsec
07-21 8309
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。 该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单。。。...
Nacos 身份验证绕过漏洞CVE-2021-29441
bmaoHk的博客
10-05 1235
nacos是阿里巴巴的一个开源项目,旨在帮助构建云原生应用程序和微服务平台,在
Nacos权限认证绕过漏洞CVE-2021-29441)虚拟机环境下复现
weixin_44656518的博客
08-09 1203
nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息。
nacos权限认证绕过问题
qq_44104879的博客
06-19 2057
记录一次项目上nacos权限认证绕过漏洞
Nacos认证绕过漏洞CVE-2021-29441
tpaer的博客
12-16 2312
复现Nacos认证绕过漏洞,导致未授权的任意访问
nacos权限绕过漏洞(CVE-2021-29441)
10-26
nacos权限绕过漏洞(CVE-2021-29441)是指在nacos进行认证授权操作时,会判断请求的user-agent是否为"Nacos-Server",如果是的话则不进行任何认证。攻击者可以通过伪造请求头中的user-agent来绕过认证,获取到用户名密码等敏感信息。该漏洞的原因是开发者将协商好的user-agent设置为"Nacos-Server",直接硬编码在了代码里,导致了漏洞的出现。攻击者可以通过发送特定的请求,来添加一个新用户,账号密码都为vulhub,然后使用新建的账号进行登录,从而绕过认证。在漏洞利用过程中,只需要用到nacos的web访问端口8848
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值