nacos安全漏洞问题

nacos漏洞.png

只要在HTTP请求中的header将User-Agent值设定为特定的值。就算accessToken不传,也可绕过登录验证,直接获得结果。
这就意味这,我可以直接修改将nacos暴露在外网的大公司的服务器配置了呀!或者是通过内网修改别的项目组的服务配置。

如果大家将nacos暴露在公网的,赶紧修改配置或者直接升级吧!

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • SSRF漏洞
    上周挖了几个SSRF漏洞,标的服务器配置较为简单,利用file协议就可以做很多事情。后来顺便看了一些SSRF漏洞相...
    AxisX阅读 2,634评论 0 3
  • Redis未授权访问漏洞的利用及防护
    什么是Redis未授权访问漏洞? Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全...
    IM魂影阅读 879评论 0 2
  • Redis未授权访问漏洞
    1.应用介绍 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Va...
    BerL1n阅读 1,951评论 2 4
  • 2019-08-06redis未授权访问漏洞 复现利用
    redis未授权访问漏洞 1. redis未授权访问漏洞 Redis 默认情况下,会绑定在 0.0.0.0:637...
    thelostworldSec阅读 863评论 0 0
  • 2018-07-18 先发影响力
    推荐指数: 6.0 书籍主旨关键词:特权、焦点、注意力、语言联想、情景联想 观点: 1.统计学现在叫数据分析,社会...
    Jenaral阅读 6,038评论 0 5

友情链接更多精彩内容