Nacos惊现安全漏洞修复后问题仍旧存在

最新推荐文章于 2025-11-07 16:06:23 发布
原创 最新推荐文章于 2025-11-07 16:06:23 发布 · 3.1w 阅读 · 3 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#nacos #安全漏洞

本文详细分析了Nacos 1.4.1版本中存在的User-Agent绕过安全漏洞,揭示了其serverIdentity key-value修复机制存在的问题,并展示了如何利用特定URL构造来绕过鉴权。

你好,我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。

通过查看该功能,需要在application.properties添加配置nacos.core.auth.enable.userAgentAuthWhite:false,才能避免User-Agent: Nacos-Server绕过鉴权的安全问题。

但在开启该机制后,我从代码中发现,任然可以在某种情况下绕过,使之失效,调用任何接口,通过该漏洞,我可以绕过鉴权,做到:

调用添加用户接口,添加新用户(POST https://127.0.0.1:8848/nacos/v1/auth/users?username=test&password=test),然后使用新添加的用户登录console,访问、修改、添加数据。

一、漏洞详情

问题主要出现在com.alibaba.nacos.core.auth.AuthFilter#doFilter:

public class AuthFilter implements Filter {
    
    @Autowired
    private AuthConfigs authConfigs;
    
    @Autowired
    private AuthManager authManager;
    
    @Autowired
    private ControllerMethodsCache methodsCache;
    
    private Map<Class<? extends ResourceParser>, ResourceParser> parserInstance = new ConcurrentHashMap<>();
    
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        
        if (!authConfigs.isAuthEnabled()) {
            chain.doFilter(request, response);
            return;
        }
        
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        
        if (authConfigs.isEnableUserAgentAuthWhite()) {
            String userAgent = WebUtils.getUserAgent(req);
            if (StringUtils.startsWith(userAgent, Constants.NACOS_SERVER_HEADER)) {
                chain.doFilter(request, response);
                return;
最低0.47元/天 解锁文章
nacos权限绕过漏洞(nacos认证绕过安全漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 4101
可以看出在 1.2~1.4.0 的版本期间是存在认证绕过安全漏洞的,是因为 User-Agent 中包含了 Nacos-Server 使得认定请求来自于其他服务端,从而绕过了认证。nacos权限绕过漏洞环境搭建 我们选择版本nacos 1.4.0来对漏洞进行复 下载安装包后 运行startup.cmd -m standalone 需要在环境变量中设置 JAVA_HOME ,设置完环境变量后重新打开一个命令行 否则并不生效 ,启动的时候最好用管理员权限启动,否则会出启动不成功的问题
NACOS身份认证绕过漏洞
渗透之路,攻防之间皆学问
02-24 1万+
目录 漏洞描述 影响版本 docker-compose文件一键搭建漏洞环境 漏洞复 修复建议 漏洞挖掘 自动化探测脚本POC nacosNacos 致力于帮助您发、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实动态服务发、服务配置、服务元数据及流量管理。 漏洞描述 2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可.
Nacos权限认证
FAIRYTAIL的博客
08-15 2248
错误提示你需要设置 nacos.core.auth.server.identity.keynacos.core.auth.server.identity.value 的值,在2.2.1后这两个是没有默认值的,需要自己填写。原因是需要配置 nacos.core.auth.plugin.nacos.token.secret.key 并且这个值不能低于32位,这也是在2.2.1后没有默认值了。可以看到,不需要登录名密码就直接访问到了nacos主页,在主页也有提示,让我们开启鉴权。
Nacos未授权访问漏洞复
2301_80127209的博客
04-22 847
pageNo=1&pageSize=1,我们验证了一个漏洞存在(这是个靶场,,写这个多次一举),对其进行抓包放入重放模块后,修改为post模式(一定要修改!申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。了解了成因,了解了测试方法,本人为了偷懒不去抓包,就去编写脚本开始帮我吧,嘿嘿嘿。免费领取安全学习资料包!
Nacos漏洞总结复,一篇文章给你讲清楚了!
最新发布
fly_enum的博客
11-07 1124
Nacos漏洞总结复
nacos鉴权报invalid username or password
学习记录
11-21 659
invalid username or password报错或者nacos配置鉴权有问题
Alibaba Nacos serverIdentity存在鉴权绕过漏洞修复记录
世上哪有什么岁月静好,不过是有人替你负重前行
06-14 3285
Alibaba Nacos serverIdentity存在鉴权绕过漏洞。
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
NACOS身份认证绕过漏洞批量检测poc.7z
spring 微服务nacos未授权访问漏洞修复
whandgdh的博客
06-17 8068
spring 微服务nacos未授权访问漏洞修复
阿里Nacos安全漏洞,火速升级(附修复建议)
程序媛小琬的博客
04-11 2023
前言 我是threedr3am,我发nacos最新版本1.4.1对于User-Agent绕过安全漏洞serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。 通过查看该功能,需要在application.properties添加配置nacos.core.auth.enable.userAgentAuthWhite:false,才能避免User-Ag
阿里 Nacos 爆,安全漏洞以绕过身份验证(附修复建议)
m0_52987358的博客
01-19 1920
来源:github.com/alibaba/nacos/issues/4701 一、漏洞详情 二、漏洞影响范围 三、漏洞复 三、 修复建议 BugFix 大家好,我是threedr3am,我发nacos最新版本1.4.1对于User-Agent绕过安全漏洞serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。 通过查看该功能,需要在applic
Alibaba Nacos权限认证绕过漏洞复
逍遥小哥的博客
07-18 9459
是一个易于使用的平台,旨在用于动态服务发,配置和服务管理。它可以帮助您轻松构建云本机应用程序和。2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。为什么会产生这个漏洞?1.认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。
Alibaba Nacos权限认证绕过漏洞[CVE-2021-29441]
m0_54323635的博客
08-31 2124
Alibaba Nacos是阿里巴巴的一个新开源项目,是一个更易于构建云原生应用的动态服务发、配置管理和服务管理平台。 该漏洞是Nacos在进行认证授权操作时,会先判断user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出
解决Alibaba Nacos 权限认证绕过漏洞 (CVE- - 2021- - 29441)亲测有效
热门推荐
majunssz的博客
04-22 1万+
解决Alibaba Nacos 权限认证绕过漏洞 (CVE- - 2021- - 29441)亲测有效 2.可以通过外网随意添加nacos用户名及密码
Nacos 存在认证绕过漏洞(CVE-2021-29441)
北方的孤夜
06-04 2680
Nacos 存在认证绕过漏洞(CVE-2021-29441)
Nacos漏洞总结复
heike_Ch的博客
04-23 1994
Nacos中发影响Nacos <= 2.1.0的问题Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
留后门?Nacos被爆存在严重的旁路身份验证安全漏洞
xmt1139057136的专栏
01-16 2005
留后门?Nacos被爆存在严重的旁路身份验证安全漏洞!2021 年 1 月 15 日,也就是昨天,Nacos 发布了新版本 1.4.1。该版本发布了很多新特性和增强的功能。这次发布的新版...
nacos安全测评漏洞:nacos未授权访问漏洞【原理扫描】
Yang_RR的博客
05-11 5164
nacos目前使用的版本为v2.0.3,后台管理界面虽然有账号密码的登录验证,但是服务注册和读取配置没有认证配置。
nacos sql注入漏洞修复
03-19
### Nacos SQL 注入漏洞修复方案 Nacos 是阿里巴巴开源的一款动态服务发、配置管理和服务管理平台。由于其广泛的应用场景,在实际部署过程中可能会面临安全威胁,例如 SQL 注入攻击。以下是针对 Nacos 中可能存在的 SQL 注入漏洞的解决方案。 #### 1. 使用参数化查询 为了防止 SQL 注入,推荐使用参数化查询来替代字符串拼接的方式构建 SQL 查询语句。这种方式可以有效隔离用户输入的内容与 SQL 命令本身[^1]。 在 Java 应用程序中,可以通过 `PreparedStatement` 来实: ```java String sql = "SELECT * FROM config_info WHERE id = ?"; try (Connection conn = dataSource.getConnection(); PreparedStatement pstmt = conn.prepareStatement(sql)) { pstmt.setInt(1, userId); ResultSet rs = pstmt.executeQuery(); while (rs.next()) { System.out.println(rs.getString("name")); } } catch (SQLException e) { e.printStackTrace(); } ``` #### 2. 更新到最新版本 定期更新至官方发布的最新稳定版是解决已知漏洞的有效方法之一。开发者团队通常会在新版本中修补已报告的安全问题。因此,建议检查当前使用的 Nacos 版本是否存在公开披露的漏洞,并升级到最新的补丁版本[^2]。 访问 [Nacos 官方 GitHub](https://github.com/alibaba/nacos/releases),查看是否有新的发布说明提及关于 SQL 注入防护的相关改进措施。 #### 3. 输入验证与过滤 对于所有外部传入的数据都应执行严格的校验逻辑,确保只接受预期范围内的合法字符集。通过白名单机制限定允许的字符种类能够显著降低恶意脚本注入的风险[^3]。 例如,如果字段仅需支持数字,则可以在接收前增加如下正则表达式匹配规则: ```java public boolean isValidInput(String input) { String regex = "\\d+"; // 只允许纯数字 Pattern pattern = Pattern.compile(regex); Matcher matcher = pattern.matcher(input); return matcher.matches(); } ``` #### 4. 启用 WAF 防护 Web Application Firewall(WAF)是一种专门设计用来保护 Web 应用免受常见网络攻击的技术手段。它可以检测并阻止潜在危险请求到达服务器端之前完成拦截操作[^4]。将 WAF 整合进有架构有助于增强整体安全性水平。 --- ### 总结 综上所述,修复 Nacos 的 SQL 注入漏洞可以从多个角度入手,包括但不限于采用参数化查询代替手动拼接 SQL 字符串、及时安装厂商提供的软件更新包以及实施全面细致的数据清洗策略等综合办法共同作用才能达到最佳效果。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天秤座的架构师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值