一、概要
近日,基调听云关注到nacos组件存在允许对节点任意文件进行读写操作漏洞。Nacos使用Jraft请求磁盘操作时,未限制文件路径,通过此漏洞攻击者可以对Nacos Server所在节点的任意文件进行读写操作。
参考链接:https://nacos.io/blog/announcement-nacos-security-problem-file/
二、威胁级别
威胁级别:【高危】
三、CVSS评分
7.1(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)
四、漏洞影响范围
影响版本:1.4.8、2.4.1以下版本
安全版本:
1.4.8、2.4.1
五、漏洞排查及处置
目前,基调听云已发布新补丁修复了该漏洞,请受影响的用户联系相应的技术支持升级到安全版本。
Nacos节点任意文件读写漏洞
2024年9月20日
Nacos节点任意文件读写漏洞
反诈骗提醒:
基调听云仅通过官方渠道展开招聘,不需要下载软件、不会向您收取任何费用,请通过官方渠道投递,谨防受骗。如有其他疑问,请通过官方联系方式与我们联系。
能力
关于
工具
北京基调网络股份有限公司 © Copyright 2007 - 2024 | 京ICP备08104828号-4 | 京公网安备11010502033785号