漏洞描述

2023年6月7日公司监测到Nacos系统存在反序列化漏洞（CERT-R-2023-204）。Nacos 是一个易于构建云原生应用的动态服务发现、配置管理和服务管理平台，广泛应用于各个行业。该漏洞是由于Nacos的7848端口（默认配置，是Nacos集群间Raft协议的通信端口）在处理Raft请求时，攻击者可以无限制使用hessian进行反序列化利用，最终实现代码执行。

漏洞危害

Nacos的7848端口（默认配置，是Nacos集群间Raft协议的通信端口）在处理Raft请求时，攻击者可以无限制使用hessian进行反序列化利用，最终实现代码执行。

漏洞编号

CERT-R-2023-204

漏洞等级

高危

影响范围：

1.4.0>=Nacos<1.4.6 ；2.0.0>=Nacos<2.2.3

修复方案

当前官方已发布安全版本的系统，建议受影响的用户及时升级到安全版本。

链接如下：

Nacos 1.4.6

https://github.com/alibaba/nacos/releases/tag/1.4.6

Nacos 2.2.3

https://github.com/alibaba/nacos/releases/tag/2.2.3

参考链接

https://cert.360.cn/warning/detail?id=648037e9d5b5ed368982cdc7