漏洞描述
nacos /nacos/v1/auth/users 存在信息泄露,攻击者可以获取用户名、密码等信息
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在默认情况下的Nacos 未开启鉴权校验,导致可通过 /auth/users 等接口查看用户信息或创建用户操作。
Alibaba Nacos 存在未授权访问漏洞
PoC代码
暂无相关漏洞推荐
- Nacos /nacos/v1/cs/configs 信息泄露漏洞
- Nacos /nacos/v1/auth/users/login 默认口令漏洞
- nacos-derby-rce: Nacos Derby 远程代码执行 RCE
- nacos-unauthorized-config-download: Nacos 未授权下载配置信息
- nacos-sync-login-bypass: Nacos-Sync 未授权进后台
- Nacos /nacos/v1/auth/users 权限绕过漏洞(CVE-2021-43116)
- POC CVE-2021-29441: Nacos <1.4.1 - Authentication Bypass
- POC CVE-2021-29442: Nacos <1.4.1 - Authentication Bypass
- POC CVE-2021-44139: Alibaba Sentinel - Server-side request forgery (SSRF)
- POC CVE-2021-44139: Alibaba Sentinel - Server-side request forgery (SSRF)
- POC alibaba-canal-default-password: Alibaba Canal Default Password
- POC nacos-create-user-unauthorized: Nacos Unauthorized Create User
- POC nacos-user-list-unauthorized: Alibaba Nacos V1 Auth Bypass