| 漏洞概述 | |||
| 漏洞名稱 | Nacos 集群Raft反序列化漏洞 | ||
| 漏洞編號(hào) | QVD-2023-13065 | ||
| 公開(kāi)時(shí)間 | 2023-05-25 | 影響數(shù)量級(jí) | 萬(wàn)級(jí) |
| 漏洞等級(jí) | 高危 | 漏洞評(píng)分 | 8.1 |
| 威脅類型 | 代碼執(zhí)行 | 利用可能性 | 中 |
| POC狀態(tài) | 未發(fā)現(xiàn) | 在野利用狀態(tài) | 未發(fā)現(xiàn) |
| EXP狀態(tài) | 未發(fā)現(xiàn) | 技術(shù)細(xì)節(jié)狀態(tài) | 未發(fā)現(xiàn) |
| 危害描述:在Nacos集群處理部分Jraft請(qǐng)求時(shí),攻擊者可以無(wú)限制使用hessian進(jìn)行反序列化利用,最終實(shí)現(xiàn)代碼執(zhí)行。 | |||
01?漏洞詳情
影響組件
Nacos是一個(gè)易于使用的平臺(tái),專為動(dòng)態(tài)服務(wù)發(fā)現(xiàn)和配置以及服務(wù)管理而設(shè)計(jì)。可以幫助您輕松構(gòu)建云原生應(yīng)用程序和微服務(wù)平臺(tái)。
漏洞描述
近日,奇安信CERT監(jiān)測(cè)到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群處理部分Jraft請(qǐng)求時(shí),攻擊者可以無(wú)限制使用hessian進(jìn)行反序列化利用,最終實(shí)現(xiàn)代碼執(zhí)行。鑒于該漏洞僅影響集群間通信端口 7848(默認(rèn)配置下),若部署時(shí)已進(jìn)行限制或未暴露則風(fēng)險(xiǎn)可控,建議客戶做好自查及防護(hù)。
02?影響范圍
影響版本
1.4.0<=nacos<1.4.6< p=””>
2.0.0<=Nacos<2.2.3
其他受影響組件
無(wú)
03?處置建議
安全更新
目前官方已發(fā)布安全修復(fù)更新,受影響用戶可以升級(jí)到Nacos 1.4.6、Nacos 2.2.3
https://github.com/alibaba/nacos/releases/tag/1.4.6
https://github.com/alibaba/nacos/releases/tag/2.2.3
緩解措施
由于該漏洞僅影響7848端口(默認(rèn)設(shè)置下),客戶可通過(guò)禁止該端口的請(qǐng)求來(lái)緩解此漏洞。
04?參考資料
[1]https://github.com/alibaba/nacos/releases/tag/1.4.6
[2]https://github.com/alibaba/nacos/releases/tag/2.2.3
來(lái)源:奇安信 CERT