-赛博昆仑漏洞安全通告-
漏洞描述
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构(例如微服务范式、云原生范式) 的服务基础设施。
近日,赛博昆仑CERT监测到Nacos 反序列化漏洞情报。由于在Nacos的7848端口(默认配置)为Nacos集群间Raft协议的通信端口,在处理Raft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。
漏洞名称 | Nacos Raft反序列化漏洞 | ||
漏洞公开编号 | 暂无 | ||
昆仑漏洞库编号 | CYKL-2023-007913 | ||
漏洞类型 | 反序列化执行 | 公开时间 | 2023-05-25 |
漏洞等级 | 高危 | 评分 | 暂无 |
漏洞所需权限 | 无权限要求 | 漏洞利用难度 | 中 |
PoC状态 | 未公开 | EXP状态 | 未知 |
漏洞细节 | 未公开 | 在野利用 | 未知 |
临时缓解措施
默认设置下该漏洞仅影响7848端口,客户可通过禁止该端口的请求来缓解此漏洞。 修复措施
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
下载地址:
Nacos 1.4.6 https://github.com/alibaba/nacos/releases/tag/1.4.6
赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484182&idx=1&sn=dec6e93b61f3fa839bc0a5d31959aef4&chksm=c12afe97f65d7781f7ee8ebe36a3b5818f6b4992a7c6df9885a8f3424a079cdd8f9fb4b3c060#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh