漏洞描述
2023年6月7日公司监测到Nacos系统存在反序列化漏洞(CERT-R-2023-204)。Nacos 是一个易于构建云原生应用的动态服务发现、配置管理和服务管理平台,广泛应用于各个行业。该漏洞是由于Nacos的7848端口(默认配置,是Nacos集群间Raft协议的通信端口)在处理Raft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。
漏洞危害
Nacos的7848端口(默认配置,是Nacos集群间Raft协议的通信端口)在处理Raft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。
漏洞编号
CERT-R-2023-204
漏洞等级
高危
影响范围:
1.4.0>=Nacos<1.4.6 ;2.0.0>=Nacos<2.2.3
修复方案
当前官方已发布安全版本的系统,建议受影响的用户及时升级到安全版本。
链接如下:
Nacos 1.4.6
https://github.com/alibaba/nacos/releases/tag/1.4.6
Nacos 2.2.3
https://github.com/alibaba/nacos/releases/tag/2.2.3
参考链接
https://cert.360.cn/warning/detail?id=648037e9d5b5ed368982cdc7