官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
简介
Nacos是一套帮助您发现、配置和管理微服务的程序。提供一组简单易用的特性集,能够快速的实现动态服务发现、服务配置、服务元数据以及流量管理。
在Nacos 2.0版本存在未授权访问漏洞,程序未有效对于用户权限进行判断,导致能够添加任意用户、修改任意用户密码等等问题。
搭建环境
通过官方github咱们找到相关下载链接:
https://github.com/alibaba/nacos/releases/download/2.0.0-ALPHA.1/nacos-server-2.0.0-ALPHA.1.tar.gz
Windows下面运行方法:
解压nacos-server-2.0.0-ALPHA.1.tar.gz
访问cd nacos-server-2.0.0-ALPHA.1\nacos\bin
运行.\startup.cmd -m standalone
Linux 下面运行方法:
解压tar -zxvf nacos-server-2.0.0-ALPHA.1.tar.gz
访问cd nacos-server-2.0.0-ALPHA.1\nacos\bin
运行./startup.sh -m standalone
笔者在Windows下面测试运行后如下:
能够看到Console为访问地址http://192.168.189.1:8848/nacos/index.html#/login。
到这步表示环境搭建成功。
漏洞复现
通过默认用户名和密码nacos/nacos登录系统。
选择权限控制->用户列表->角色列表->创建用户。
咱们在添加用户时候进行抓包,将数据包之中accessToken值和属性进行删除。
通过发包器进行发送,得到成功的响应提示。
在刷新界面之后,成功添加test2用户,用户密码为test2。
同理在用户密码重置功能,能够前台重置任意用户密码。
其他功能也会存在同样类型问题。
漏洞分析
这个问题是权限控制模块还没开发完成。
在这里已经说到相关问题https://github.com/alibaba/nacos/issues/1105。
修复建议
在权限控制开发完成之前最好不要对非信任网络开放平台。
开发完成之后抓紧更新修复该问题。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 0 文章数
- 0 关注者