漏洞描述
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 提供多种鉴权方式,使用配置文件缺省参数 Nacos-Server 可未授权登陆到 Nacos 应用。
Alibaba Nacos User-Agent 存在鉴权绕过
PoC代码
暂无相关漏洞推荐
- POC CVE-2025-55523: Agent-Zero 0.8.0 - 0.9.4 - Arbitrary File Download
- Agent-Zero /download_work_dir_file 文件读取漏洞(CVE-2025-55523)
- POC 爱数 AnyShare智能内容管理平台 /api/ServiceAgent/stop_service 命令执行漏洞
- Nacos /nacos/v1/cs/configs 信息泄露漏洞
- Nacos /nacos/v1/auth/users/login 默认口令漏洞
- nacos-derby-rce: Nacos Derby 远程代码执行 RCE
- nacos-unauthorized-config-download: Nacos 未授权下载配置信息
- nacos-sync-login-bypass: Nacos-Sync 未授权进后台
- 瑞友天翼应用虚拟化系统 /RAPAgent.XGI GETApplication SQL 注入漏洞
- Nacos /nacos/v1/auth/users 权限绕过漏洞(CVE-2021-43116)
- 瑞友天翼应用虚拟化系统 index.php /Agent/GetBSAppUrl/AppID SQL 注入漏洞
- (CVE-2025-8667)SkyworkAI DeepResearchAgent OS命令注入漏洞
- POC CVE-2018-1000130: Jolokia Agent - JNDI Code Injection