NacosDerby远程命令执行漏洞修复建议

由于Nacos <= 2.4.0 BETA 存在 Derby 远程命令执行漏洞，恶意攻击者利用此漏洞可以未授权执行SQL语句，最终导致任意代码执行。目前该漏洞PoC和技术细节已在互联网上公开。

一、漏洞情况分析

Nacos 是一个功能强大的服务注册与发现、配置管理平台，为微服务架构和云原生应用提供了重要的基础设施支持。

由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问，恶意攻击者利用此漏洞可以未授权执行SQL语句，最终导致任意代码执行。该漏洞利用存在如下条件：

1、Nacos未开启身份认证。

2、Nacos使用derby内置数据库。

二、漏洞影响范围

Nacos <= 2.4.0 BETA

三、漏洞处置建议 3.1 官方修复方案

官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复，但还未合并到发行版本，修复代码如下所示：

Close derby ops api default. (#12372) · alibaba/nacos@ed7bd03 · GitHub

3.2 临时修复方案

1、在不影响业务的情况下，使用MySQL等外置数据库。

2、配置Nacos开启身份认证，设置强密码。详细操作过程可参考官方手册：权限校验 | Nacos 官网

3、使用iptables、安全组等方式，限制访问Nacos端口的源IP。

标签：

NacosDerby远程命令执行漏洞修复建议由讯客互联人工智能栏目发布，感谢您对讯客互联的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人网站或者朋友圈，但转载请说明文章出处“NacosDerby远程命令执行漏洞修复建议”