Alibaba Nacos 漏洞列表
共找到 19 个与 Alibaba Nacos 相关的漏洞
📅 加载漏洞趋势中...
-
nacos-user-list-unauthorized: Alibaba Nacos V1 Auth Bypass POC
fofa app="NACOS" -
nacos-secret-default-key-unauth: Alibaba Nacos secret.key默认密钥 未授权访问漏洞 POC
Alibaba Nacos 使用了固定的secret.key默认密钥,导致攻击者可以构造请求获取敏感信息,导致未授权访问漏洞 Alibaba Nacos <= 2.2.0 app="NACOS" -
nacos-severidentity-bypass: Alibaba Nacos ServerIdentity 权限绕过 POC
Nacos 能让您从微服务平台建设的视角管理数据中心的所有服务及元数据,包括管理服务的描述、生命周期、服务的静态依赖分析、服务的健康状态、服务的流量管理、路由及安全策略。Nacos 平台在 Header 中添加 serverIdentity: security 能直接绕过身份验证查看用户列表 {"accessToken":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY5ODg5NDcyN30.feetKmWoPnMkAebjkNnyuKo6c21_hzTgu0dfNqbdpZQ","tokenTtl":18000,"globalAdmin":true} -
Alibaba Nacos /users 权限绕过漏洞 无POC
Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。Nacos 存在身份认证绕过漏洞,开源服务管理平台Nacos在默认配置下未对token.secret.key进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。 -
Alibaba Nacos Jraft 未授权 任意文件写入漏洞 无POC
-
Alibaba Nacos removal 远程代码执行漏洞(下载恶意jar文件) 无POC
阿里巴巴 Nacos 存在远程代码执行漏洞,此漏洞是程序对用户输入removal接口的数据缺乏校验导致的。 -
Alibaba Nacos removal 远程代码执行漏洞 无POC
阿里巴巴 Nacos 存在远程代码执行漏洞,此漏洞是程序对用户输入removal接口的数据缺乏校验导致的。 -
Alibaba Nacos 存在未授权访问漏洞 无POC
nacos /nacos/v1/auth/users 存在信息泄露,攻击者可以获取用户名、密码等信息 Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在默认情况下的Nacos 未开启鉴权校验,导致可通过 /auth/users 等接口查看用户信息或创建用户操作。 -
Alibaba Nacos 存在未授权SQL语句执行 无POC
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。该接口在开启Nacos 提供的鉴权的情况下,仍然可以访问到。攻击者可以通过该接口执行SQL语句。 -
Alibaba NacosSync /serviceSync 路径未授权访问漏洞 无POC
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。NacosSync 是 Nacos 的一个特殊版本,是一个支持多种注册中心的同步组件。使用 /#/serviceSync 路径可以未授权访问到 NacosSync。 -
Alibaba Nacos Jraft 反序列化漏洞 无POC
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos在对部分Jraft请求处理时,使用Hessian 进行反序列化未限制而造成的RCE漏洞。 -
Alibaba Nacos serverIdentity 存在鉴权绕过 无POC
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 提供多种鉴权方式,使用配置文件缺省参数 security 可未授权登陆到 Nacos 应用。 -
Alibaba Nacos 弱口令漏洞 无POC
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。默认口令是指在安装或配置过程中使用的预设密码,通常容易被攻击者利用,对系统或应用程序造成潜在的危害。 -
Alibaba Nacos 默认密钥身份伪造漏洞 无POC
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 在默认配置下使用固定的 JWT token 密钥来对用户进行认证鉴权,由于 Nacos 是开源项目,该密钥是公开已知的,因此未授权的攻击者可用此固定密钥伪造任意用户身份登录 Nacos,管理操作后台接口功能。 -
Alibaba Nacos 任意用户创建 无POC
Nacos提供了一组简单易用的特性集,帮助快速实现动态服务发现、服务配置、服务元数据及流量管理。nacos存在任意用户创建,攻击者可以创建用户进入后台获取大量敏感信息 -
Alibaba Nacos derby 未授权访问(CVE-2021-29442) 无POC
Alibaba Nacos /derby端点不受保护,未经身份验证的用户可以公开访问。导致可以执行任意的select查询语句,可以查询数据库用户名和密码 -
Alibaba Nacos /v1/cs/configs 未授权访问 无POC
Alibaba nacos < 1.4.1 存在未鉴权的接口,攻击者可直接写入文件 -
Alibaba Nacos User-Agent 存在鉴权绕过 无POC
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 提供多种鉴权方式,使用配置文件缺省参数 Nacos-Server 可未授权登陆到 Nacos 应用。 -
Alibaba Nacos 未授权访问漏洞 无POC
Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。