【漏洞通告】Nacos 身份认证绕过漏洞

 

安全通告

 

 

 

漏洞信息

 

  • 漏洞名称:Nacos 身份认证绕过漏洞

  • 编号:NVDB-CNVDB-2023674205

  • 风险等级:高危

     

 
 

 

 

漏洞概述

 

近几日,君立华域虎贲实验室发现在默认配置情况下,Nacos会使用一个固定的JWT令牌密钥来对用户进行认证和授权。这个密钥是公开已知的,因此,未经授权的攻击者可以使用这个固定密钥伪造任意用户身份登录Nacos并执行管理操作后台接口的功能。

 

 
 

 

 

影响范围

 

0.1.0 <= Nacos <= 2.2.0

 

 
 

 

 

复现情况

 

登录时输入任意用户密码抓包,将返回包修改如下即可绕过登录认证。

 

 
 

 

修复建议

 

目前官方已经发布最新版,建议受影响的用户更新到最新版本,更新链接如下:

https://github.com/alibaba/nacos/releases/

无法进行升级的用户可进行修改配置文件application.properties中的JWT token secretkey 为自定义密钥,具体步骤可参考文档:

https://nacos.io/zh-cn/docs/v2/guide/user/auth.html

君立华域虎贲实验室建议用户应将Nacos部署在内网环境中,同时开启鉴权,设置自定义密钥提高安全性,还要注意及时升级到最新版本,以防止版本过时造黑客利用。

 

参考链接

https://nacos.io/zh-cn/blog/announcement-token-secret-key.html

 

https://github.com/alibaba/nacos/issues/10060