漏洞名称:Nacos Jraft 服务文件读取漏洞
English Name:Nacos Jraft Services File Read Vulnerability
CVSS core: 5.0
漏洞描述:
NACOS 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。
在Nacos<=2.4.0.1版本中集群模式启动下的NACOS Jraft端口(默认值7848)存在任意文件读取的漏洞。
FOFA自检语句:
banner=“x00”&& banner=“x12” && banner=“x04” && banner=“x7f” && banner=“xff” && banner=“request”
受影响资产数量: 46338
受影响版本:
Nacos<=2.4.0.1
解决方案:
厂商已发布了漏洞修复程序,请及时关注更新:https://nacos.io/blog/announcement-nacos-security-problem-file/
漏洞检测工具:
【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞利用效果如图所示: