【漏洞通告】Nacos 身份认证绕过漏洞

安全通告

漏洞信息

漏洞概述

近几日，君立华域虎贲实验室发现在默认配置情况下，Nacos会使用一个固定的JWT令牌密钥来对用户进行认证和授权。这个密钥是公开已知的，因此，未经授权的攻击者可以使用这个固定密钥伪造任意用户身份登录Nacos并执行管理操作后台接口的功能。

影响范围

0.1.0 <= Nacos <= 2.2.0

复现情况

登录时输入任意用户密码抓包，将返回包修改如下即可绕过登录认证。

修复建议

目前官方已经发布最新版，建议受影响的用户更新到最新版本，更新链接如下：

https://github.com/alibaba/nacos/releases/

无法进行升级的用户可进行修改配置文件application.properties中的JWT token secretkey 为自定义密钥，具体步骤可参考文档：

https://nacos.io/zh-cn/docs/v2/guide/user/auth.html

君立华域虎贲实验室建议用户应将Nacos部署在内网环境中，同时开启鉴权，设置自定义密钥提高安全性，还要注意及时升级到最新版本，以防止版本过时造黑客利用。

参考链接

https://nacos.io/zh-cn/blog/announcement-token-secret-key.html

https://github.com/alibaba/nacos/issues/10060

넳 넲