【漏洞详情】
近日,平安云安全中心监测到Nacos官方在github发布的issue中披露Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 , 通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作
【风险评级】
高危
【影响范围】
l Nacos 2.0.0-ALPHA.1
【修复建议】
建议受影响的用户结合实际业务评估漏洞风险影响,可通过如下方案降低安全风险。
加固方案:配置访问白名单等控制访问权限。
【参考链接】
https://github.com/alibaba/nacos/issues/4593
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2021年1月28日