Docker下安装nacos2.2.3身份认证漏洞

最新推荐文章于 2025-05-08 11:18:04 发布
原创 最新推荐文章于 2025-05-08 11:18:04 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器 #运维

Nacos开源服务管理平台因默认密钥存在认证绕过漏洞,攻击者可轻易进入后台。漏洞源于docker配置中未修改的默认秘钥。修复方法是进入容器修改配置并重启服务。务必及时修复以防止数据泄露和恶意操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞描述
Nacos是一个开源的服务管理平台,它提供了服务发现、配置管理和动态DNS等功能,旨在帮助开发人员构建和管理微服务架构中的服务。Nacos 服务管理平台因默认密钥导致的认证绕过漏洞。在默认配置为未修改的情况下,攻击者可以构造用户 token 进入后台,导致系统被攻击与控制。经过分析和研判,该漏洞利用难度低,可导致未授权进入后台,导致数据泄露或被恶意篡改,建议尽快修复。
漏洞原因以及修复

  • 主要原因是docker安装的nacos中的
    nacos.core.auth.plugin.nacos.token.secret.key配置使用了默认的配置:nacos官方文档
  • 修复
    1. docker ps查看当前nacos容器id在这里插入图片描述
    2. docker exec -it id /bin/bash进入容器
    3. cd ./conf进入配置文件夹,修改application.properties配置中的nacos.core.auth.plugin.nacos.token.secret.key配置。
    4. 保存好修改的配置文件,`exit``退出容器,重启nacos服务;
失眠的阿Q
关注
Docker安装Nacos2.2.3并鉴权、Prometheus监听Nacos、Grafana监控Nacos【亲测可用】
python 熊猫
01-10 1900
Docker安装Nacos2.2.3并鉴权、Prometheus监听Nacos、Grafana监控Nacos【亲测可用】
Docker环境下Nacos的保姆级安装教程
Xs_20240309的博客
02-03 1790
本文为读者提供一个保姆级的Docker安装Nacos教程,确保初学者也能轻松掌握。通过详细的步骤讲解,从环境准备到容器启动,手把手指导用户快速完成Nacos的部署。无论是开发人员还是运维工程师,都能从中受益,迅速上手。在当今快速发展的微服务架构中,Nacos作为一款开源的服务发现与配置管理工具,凭借其强大的功能和易用性,迅速赢得了开发者的青睐。Nacos的核心功能主要体现在以下几个方面:首先,服务发现与注册是Nacos最基础也是最重要的功能之一。
Nacos升级到2.2.3 解决Jraft Hessian反序列漏洞
l_mmf的博客
09-11 1458
【升级NacosNacos升级到2.2.3 解决Jraft Hessian反序列漏洞
Nacos2.2.3版本下载及访问
2401_87282872的博客
05-08 570
这里因为我修改了application.properties的port端口所以是8849,这个大家可以在启动nacos的时候查看自己的端口号。最后所一下,我这个是因为登录过了使用没有登录页面大家如果有页面的话根据自己设置的账号和密码输入即可。2)、点击进入bin目录对startup.cmd文件进行修改,使用全局搜索(7)、设置登录那Nacos的账号和密码(账号和密码可以自己随意设置)8)、设置密钥,这边大家可以去使用官网的也可以用我这个。这里的root是数据库的账号和密码。3)、修改完后使用快捷键。
Docker 部署升级 Nacos2.2.3 版本解决 raft 漏洞问题
小康子的博客
06-13 7187
nacos 老版本发现有 raft 漏洞,直接升级最新版 2.2.3 解决问题。在原部署参数基础上增加以下三个环境变量。使用以下命令从老版本服务中获取。启动新版 nacos 容器即可。更新原数据库三个表的字段。获取方式参考下面链接。
nacos数据表创建sql
z_xiaoluan的博客
10-29 5771
nacos数据表创建sql,转自nacos-github /******************************************/ /* 数据库全名 = nacos_config */ /* 表名称 = config_info */ /******************************************/ CREATE TABLE `config_info` ( `id` bigint(20) NOT NULL AUTO_INCREMENT COMMEN...
docker-compose部署nacos 2.2.3
云深海阔专栏
08-15 1980
1、编写docker-compose.yml文件。2、登录nacos,创建账号配置账号密码及权限。boostrap.yml配置文件内容。3、java应用程序配置账号密码。
nacos v2.2.3 docker简单安装使用
if_you_can_please_do的博客
04-30 2037
nacos v2.2.3 docker简单安装使用
Docker安装Nacos2.2.3
最新发布
06-17
Docker安装Nacos2.2.3是一种容器化部署微服务架构的方法,通过Docker这一平台,可以简化Nacos服务的部署和管理。Nacos(即Naming and Configuration Service)是一个易于使用的动态服务发现、配置和服务管理平台,...
nacos2.2.3 适配dm数据库
03-15
`nacos-2.2.3`这个文件很可能包含了Docker Compose配置文件以及Nacos服务器的定制化JAR包,用户可以通过解压该文件,按照Docker Compose的规范进行部署。 总的来说,Nacos 2.2.3对DM数据库的适配,不仅增强了Nacos...
nacos-server2.2.3 docker镜像
06-02
目前docker官网最新版没有2.2.3,这是自己用的镜像 使用命令 docker load<nacos-server_2.2.3.tar 即可载入镜像
docker部署Nacos(v2.2.3版本)最新版!
qq_65065587的博客
09-06 4946
一步到位!!! docker部署Nacos(v2.2.3版本)最新版!
nacos docker容器2.0.3升级到2.2.3,解决控制台身份验证绕过漏洞
qq_21330821的博客
04-07 753
近期生产环境因Nacos控制台存在​​(CVE-2023-6271)被扫描告警。该漏洞源于Nacos默认配置未修改secret.key,攻击者可通过默认密钥生成JWT Token绕过鉴权访问敏感接口。官方在2.2.3版本修复了此问题,但升级涉及权限体系重构和数据库表结构变更,需谨慎操作以避免服务中断。以下是完整升级流程与关键注意事项。
使用docker部署nacos2.2.3单节点
W1124824402的博客
04-26 1600
使用docker部署单节点nacos2.2.x版本详细文档
docker部署最新版nacos(2.2.3)设置登录密码
热门推荐
有一种信仰叫海阔天空
09-19 1万+
docker部署最新版nacos(2.2.3)设置登录密码
Nacosdocker-compose启动nacos v2.2.3,启动时修改默认密码不使用naocs
架构+开发+运维
06-04 1609
docker-compose启动nacos v2.2.3,启动时默认密码不使用naocs
JeecgBoot 升级 Nacos2.2.3 版本解决 raft 漏洞问题
JEECG官方博客
07-14 2065
JeecgBoot 升级 Nacos2.2.3 版本解决 raft 漏洞问题
dockerdocker安装nacos
Meditation_Crazy
09-28 605
日常记录。
nacos2.0升级至nacos2.2.3安全漏洞修复
fsckzyly的博客
06-15 1090
背景 安全漏洞修复 升级 注意事项 近期Nacos社区收到关于Nacos鉴权功能通过token.secret.key默认值进行撞击,绕过身份验证安全漏洞的问题。社区在2.2.0.1和1.4.5版本已移除了自带的默认值,并在token.secret.key未传入或非法时阻止Nacos节点启动来提醒用户设置自定义token.secret.key。考虑到现在的控制台登陆页面并没有进行模块化,无...
docker安装nacos2.2.3
08-19
要在Docker安装Nacos 2.2.3,你可以按照以下步骤进行操作: 1. 首先,确保你已经安装DockerDocker Compose。如果没有安装,可以根据你的操作系统在官方网站上找到相应的安装指南。 2. 创建一个新的目录,并在该目录下创建一个名为`docker-compose.yml`的文件。 3. 在`docker-compose.yml`文件中,添加以下内容: ```yaml version: &#39;3&#39; services: nacos: image: nacos/nacos-server:2.2.3 ports: - "8848:8848" volumes: - ./data:/home/nacos/init.d ``` 4. 保存并关闭`docker-compose.yml`文件。 5. 在终端中,进入到包含`docker-compose.yml`文件的目录。 6. 运行以下命令启动Nacos容器: ```bash docker-compose up -d ``` 7. 等待一段时间,直到容器成功启动。 现在,你已经成功在Docker安装Nacos 2.2.3。你可以通过访问`http://localhost:8848/nacos`来访问Nacos控制台。默认的用户名和密码都是`nacos`。 希望对你有帮助!如果有任何其他问题,请随时提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值