| 漏洞概述 | |||
| 漏洞名稱 | Nacos 集群Raft反序列化漏洞 | ||
| 漏洞編號 | QVD-2023-13065 | ||
| 公開時間 | 2023-05-25 | 影響數量級 | 萬級 |
| 漏洞等級 | 高危 | 漏洞評分 | 8.1 |
| 威脅類型 | 代碼執行 | 利用可能性 | 中 |
| POC狀態 | 未發現 | 在野利用狀態 | 未發現 |
| EXP狀態 | 未發現 | 技術細節狀態 | 未發現 |
| 危害描述:在Nacos集群處理部分Jraft請求時,攻擊者可以無限制使用hessian進行反序列化利用,最終實現代碼執行。 | |||
01?漏洞詳情
影響組件
Nacos是一個易于使用的平臺,專為動態服務發現和配置以及服務管理而設計。可以幫助您輕松構建云原生應用程序和微服務平臺。
漏洞描述
近日,奇安信CERT監測到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群處理部分Jraft請求時,攻擊者可以無限制使用hessian進行反序列化利用,最終實現代碼執行。鑒于該漏洞僅影響集群間通信端口 7848(默認配置下),若部署時已進行限制或未暴露則風險可控,建議客戶做好自查及防護。
02?影響范圍
影響版本
1.4.0<=nacos<1.4.6< p=””>
2.0.0<=Nacos<2.2.3
其他受影響組件
無
03?處置建議
安全更新
目前官方已發布安全修復更新,受影響用戶可以升級到Nacos 1.4.6、Nacos 2.2.3
https://github.com/alibaba/nacos/releases/tag/1.4.6
https://github.com/alibaba/nacos/releases/tag/2.2.3
緩解措施
由于該漏洞僅影響7848端口(默認設置下),客戶可通過禁止該端口的請求來緩解此漏洞。
04?參考資料
[1]https://github.com/alibaba/nacos/releases/tag/1.4.6
[2]https://github.com/alibaba/nacos/releases/tag/2.2.3
來源:奇安信 CERT