漏洞描述
Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。Nacos 存在身份认证绕过漏洞,开源服务管理平台Nacos在默认配置下未对token.secret.key进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。
Alibaba Nacos /users 权限绕过漏洞
PoC代码
暂无相关漏洞推荐
- wordpress /wp-json/wp/v2/users 信息泄露漏洞
- Nacos /nacos/v1/cs/configs 信息泄露漏洞
- Nacos /nacos/v1/auth/users/login 默认口令漏洞
- nacos-derby-rce: Nacos Derby 远程代码执行 RCE
- nacos-unauthorized-config-download: Nacos 未授权下载配置信息
- nacos-sync-login-bypass: Nacos-Sync 未授权进后台
- Nacos /nacos/v1/auth/users 权限绕过漏洞(CVE-2021-43116)
- POC CVE-2021-29441: Nacos <1.4.1 - Authentication Bypass
- POC CVE-2021-29442: Nacos <1.4.1 - Authentication Bypass
- POC CVE-2021-44139: Alibaba Sentinel - Server-side request forgery (SSRF)
- POC CVE-2021-44139: Alibaba Sentinel - Server-side request forgery (SSRF)
- POC alibaba-canal-default-password: Alibaba Canal Default Password
- POC nacos-create-user-unauthorized: Nacos Unauthorized Create User