发布于周五 14:595天前 Nacos是一个开源、易于使用的动态服务发现、配置和服务管理平台,适合构建云原生应用程序。它提供了统一的数据管理和服务发现解决方案。 \r 近日,长亭科技监测到Nacos发布新版本,修复了远程代码执行漏洞。 \r 经漏洞分析发现,该系统应用广泛,影响较大。根据该漏洞原理,应急团队编写了X-POC远程检测工具和牧云本地检测工具,并已向公众开放下载使用。 \r 长汀应急实验室发现**Nacos 1.x在单机模式下默认不开放7848端口**,因此这种情况通常不会受到该漏洞的影响。不过**2.x版本无论单机还是集群模式都默认开放7848端口**。主要影响的是7848端口上的Jraft服务,用户可以据此判断自己可能存在的风险。 \r ## **漏洞描述**\r Nacos在处理某些基于Jraft的请求时,使用Hessian进行反序列化,但没有设置任何限制,导致应用程序存在远程代码执行(RCE)漏洞。 \r ## **检测工具**\r ### **X-POC远程检测工具**\r ### **检测方法:**\r \r 或者通过以下命令进行端口扫描和检测:\r \r ```bash\r xpoc -r 100 -t 扫描目标\r ````\r
.thumb.jpg.c0b5708d33e2443c45780e447fadcc97.jpg)
创建帐户或登录后发表意见