修复nacos未授权建账号漏洞

Posted 雅冰石

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了修复nacos未授权建账号漏洞相关的知识,希望对你有一定的参考价值。

一 问题描述

发现直接调用如下接口可以增删用户,用户密码,不安全

示例:

curl -XPOST -d "username=baidandan&password=baidandan" "http://172.18.12.96:13001/nacos/v1/auth/users"

会新建一个用户,用该用户可以登录nacos,查看里面的配置信息

二 解决办法

#修改配置文件application.properties修改以下三项:

① 将nacos.core.auth.enabled=false改为true

② 将nacos.core.auth.enable.userAgentAuthWhite=true 改为false

nacos.core.auth.server.identity.key=自定义的值
  nacos.core.auth.server.identity.value=自定义的值

#重启nacos:

systemctl restart nacos

--本篇文章参考了:

nacos 未授权访问漏洞 - 一心二念 - 博客园

以上是关于修复nacos未授权建账号漏洞的主要内容,如果未能解决你的问题,请参考以下文章

修复nacos未授权建账号漏洞

漏洞通告Alibaba Nacos 未授权访问漏洞

等保整改之开启Nacos认证-漏扫发现我们使用Nacos时存在未授权访问的漏洞

如何验证zookeeper是不是有未授权访问的漏洞

Redis未授权访问漏洞修复加固

2022-10-08(Discuz漏洞FCKeditor文本编辑器漏洞ZooKeeper 未授权访问Memcahe 未授权访问)