一、概要
近日,基调听云关注到nacos组件存在允许对节点任意文件进行读写操作漏洞。Nacos使用Jraft请求磁盘操作时,未限制文件路径,通过此漏洞攻击者可以对Nacos Server所在节点的任意文件进行读写操作。
参考链接:https://nacos.io/blog/announcement-nacos-security-problem-file/
二、威胁级别
威胁级别:【高危】
三、CVSS评分
7.1(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)
四、漏洞影响范围
影响版本:1.4.8、2.4.1以下版本
安全版本:
1.4.8、2.4.1
五、漏洞排查及处置
目前,基调听云已发布新补丁修复了该漏洞,请受影响的用户联系相应的技术支持升级到安全版本。

  • 2024-03-19

    继续阅读
  • 2024-03-19

    继续阅读
  • 2021-12-20

    继续阅读
  • 2021-11-25

    继续阅读
  • 2024-09-20

    继续阅读