当前位置: 首页 > news >正文

nacos未经授权创建用户漏洞

news 2025/3/26 5:46:50

漏洞背景:
Nacos 是一款广泛使用的动态服务发现和配置管理平台。未授权访问漏洞(CVE-2021-29441)允许攻击者在未认证的情况下直接访问管理接口,可能导致敏感配置泄露、服务篡改等风险。本指南提供完整修复方案及验证流程。

1、启用认证功能

vim application.properties# 开启鉴权功能(默认false)
nacos.core.auth.enabled=true
# 关闭User-Agent白名单(避免绕过鉴权)
nacos.core.auth.enable.userAgentAuthWhite=false
# 可选:自定义JWT密钥(增强安全性)
nacos.core.auth.default.token.secret.key=自定义32位以上复杂字符串

2、重启nacos

systemctl restart nacos

3、验证
打开nacos部署服务器输入命令

curl -XPOST -d "username=test123&password=test!123" "http://ip:port/nacos/v1/auth/users"

显示下图成功:
在这里插入图片描述
显示下图不成功:
在这里插入图片描述


http://www.mrgr.cn/news/95602.html

相关文章:

  • 快速入手-基于Django的Form和ModelForm操作(七)
  • SAP-ABAP:SAP BW模块架构与实战应用详解
  • 网心云OEC/OEC-turbo刷机问题——刷机教程、救砖方法、技术要点及下载boot失败异常解决尝试
  • 银河麒麟桌面版包管理器(二)
  • 【Linux】线程库
  • 重温Ubuntu 24.04 LTS
  • 麒麟Win32运行环境
  • PyTorch 面试题及参考答案(精选100道)
  • 图解AUTOSAR_DefaultErrorTracer
  • 本地部署Dify 添加Ollama模型DeepSeek
  • 大模型提示词工程师的自我修养-提示技巧二(思维树、RAG检索增强生成) -(专题2)
  • Guava:Google开源的Java工具库,太强大了
  • hive计算机
  • 使用VS2022编译CEF
  • 【数据结构】单链表
  • kotlin知识体系(四) : inline、noinline、crossinline 关键字对应编译后的代码是怎样的 ?
  • K8S学习之基础四十四:k8s中部署Kibana
  • 【拒绝算法PUA】LeetCode 2116. 判断一个括号字符串是否有效
  • UNIX网络编程笔记:客户/服务器程序示例
  • Jboss中间件漏洞攻略