一、漏洞详情
Nacos是一个服务注册与发现、配置管理平台,为微服务架构和云原生应用提供了重要的基础设施支持。
近日,监测到官方修复Nacos Derby远程命令执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Nacos <= 2.4.0-BETA
三、修复建议
目前官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复。
