【漏洞情报】Nacos 未授权访问漏洞情报

产品
- 推荐
- 云计算基础服务
- 大数据
- 企业应用
- 开发与运维
没有找到该产品，请重新输入产品名称
最热产品

云服务器 HOT

物联网平台 IoT HOT

专属服务器

API 网关

密钥管理服务

数据传输服务

E-MapReduce

应用管理服务

最新产品

云签名服务

资源编排服务

开源镜像站

数据库备份恢复

数据库管理服务

备案

推荐服务

产品动态

最新公告

文档中心

合作伙伴

平安云保险

计算

云服务器 ECS HOT

GPU云服务器 EGS

专属服务器 DH

弹性伸缩 AS

物理服务器 BMS

容器集群服务 PKS

备份

数据库备份恢复 DBRS

网络和CDN

专有网络 VPC

负载均衡 ELB

互联网网关 IGW

NAT网关

高速通道

VPN 网关

CDN

存储

云硬盘 EBS

对象存储 OBS

云文件存储 CloudNAS

数据库

关系型数据库 RDS-PostgreSQL

关系型数据库 RDS-MySQL

弹性缓存 Redis

文档型数据库服务 DDS

数据库管理服务 DMS

数据库开发质量审核服务 PDAS

数据传输服务 DTS

数据库高级服务

安全

CA证书服务

云安全中心 PSC

Web 应用防火墙（新）

安全专家服务

移动安全

大数据计算

大数据搜索与分析

平安脑智能引擎

日志服务

大数据应用

星云数据

大数据解决方案

人脸核身

伪造身份证件智能识别

金融行业身份校验

域名与网站

云解析

域名注册 NEW

物联网

边缘计算服务（公测中） NEW

通讯

邮件推送

短信服务

音视频服务

办公

电子发票

电子签名

知鸟

RPA安小蜂

统一协同办公平台

智能管理

智能客服

汽车服务

平安行

管理与监控

密钥管理服务 KMS

云监控 Argus

访问控制 RAM

系统管理服务 OSP

IT管理

Wizard研发管理

ITSM工具ServiceBot

D7-自动化部署 D7-EDA

应用管理服务

动态分流平台

灵度

WiseAPM监控服务

移动应用监控

浏览器监控

主动拨测监控

数据库监控

互联网中间件

API 网关

消息队列 MQ

消息队列Kafka（公测中）
解决方案
- 通用解决方案
- 行业解决方案
企业服务解决方案

统一平台

协同办公

网站快速部署

混合云解决方案

上云迁移

大数据解决方案

伪造身份证件智能识别

AI解决方案

AI-智能家居

私有云解决方案

私有云 NEW

安全解决方案

通用安全

金融云安全

金融解决方案

银行

保险

投资

互联网金融

智慧城市解决方案

智慧公安

智慧监狱

智慧机场

智慧口岸

智慧交通

智慧高校

智慧社区

智慧楼宇

智慧景区

智慧环保

医疗解决方案

智能医疗平台

医疗影像PACS云

医疗系统云主备双活
客户案例
定价
合作伙伴
文档中心
关于我们

首页
安全公告
公告详情

【漏洞情报】Nacos 未授权访问漏洞情报

【漏洞详情】

近日，平安云安全中心监测到Nacos官方在github发布的issue中披露Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞，通过该漏洞，攻击者可以进行任意操作，包括创建新用户并进行登录后操作

【风险评级】

高危

【影响范围】

l Nacos 2.0.0-ALPHA.1

【修复建议】

建议受影响的用户结合实际业务评估漏洞风险影响，可通过如下方案降低安全风险。

加固方案：配置访问白名单等控制访问权限。

【参考链接】

https://github.com/alibaba/nacos/issues/4593

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年1月28日

上一条公告【漏洞情报】Apache Druid 远程代码执行漏洞情报

下一条公告【漏洞情报】Drupal远程代码执行漏洞情报