【漏洞详情】
漏洞描述:Alibaba Nacos derby 存在远程代码执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,从而远程加载恶意构造的jar包,最终导致任意代码执行。
目前受影响的Alibaba Nacos版本:
2.2.0 < Alibaba Nacos ≤ 2.4.0(未开启鉴权)
Alibaba Nacos ≤ 2.2.0
该漏洞需要通过配置鉴权进行缓解,但是Alibaba Nacos 低版本存在未授权漏洞,即使开启鉴权也存在权限绕过漏洞,因此用户需要先升级到高版本Alibaba Nacos,再开启鉴权,步骤如下。
(1)Alibaba Nacos 2.2.0以上的版本(不包含2.2.0版本)修复了未授权漏洞,请受影响用户更新到最新版本。下载链接:https://nacos.io/download/nacos-server
(2)需要开启Alibaba Nacos鉴权。参考链接:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html
问题:系统使用的是1.3.2的版本,但是用的不是derby数据库,是外部的mysql数据库,目前根据调查的资料不存在这个漏洞。
Derby数据库简介及其在Nacos中的应用
https://zhuanlan.zhihu.com/p/684048130
nacos1.0升级到2.0,客户端要做升级吗
nacos1.0升级到2.0,客户端要做升级吗 | Nacos 官网
根据已知信息,当Nacos从1.0升级到2.0时,客户端确实需要进行升级。原因在于Nacos2.0在API层面做了较大调整,包括将大量客户端访问的API由HTTP切换到gRPC,这导致Nacos1.0和Nacos2.0的API在路径和协议上存在显著差异。尽管Nacos2.X服务端为了兼容性,能够支持Nacos1.2.0及之后版本的客户端,但这并不意味着Nacos1.0的客户端可以直接与Nacos2.0服务端无缝对接。
