关于Nacos Derby远程命令执行漏洞的预警提示

发布者:jsut发布时间:2024-07-24浏览次数:10

一、漏洞详情

Nacos是一个服务注册与发现、配置管理平台,为微服务架构和云原生应用提供了重要的基础设施支持。

近日,监测到官方修复Nacos Derby远程命令执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Nacos <= 2.4.0-BETA

三、修复建议

目前官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复。