修复nacos未授权建账号漏洞
Posted 雅冰石
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了修复nacos未授权建账号漏洞相关的知识,希望对你有一定的参考价值。
一 问题描述
发现直接调用如下接口可以增删用户,改用户密码,不安全。
示例:
curl -XPOST -d "username=baidandan&password=baidandan" "http://172.18.12.96:13001/nacos/v1/auth/users"
会新建一个用户,用该用户可以登录nacos,查看里面的配置信息。
二 解决办法
#修改配置文件application.properties,修改以下三项:
① 将nacos.core.auth.enabled=false改为true
② 将nacos.core.auth.enable.userAgentAuthWhite=true 改为false
③ nacos.core.auth.server.identity.key=自定义的值
nacos.core.auth.server.identity.value=自定义的值
#重启nacos:
systemctl restart nacos
--本篇文章参考了:
以上是关于修复nacos未授权建账号漏洞的主要内容,如果未能解决你的问题,请参考以下文章
等保整改之开启Nacos认证-漏扫发现我们使用Nacos时存在未授权访问的漏洞
2022-10-08(Discuz漏洞FCKeditor文本编辑器漏洞ZooKeeper 未授权访问Memcahe 未授权访问)