当前位置: 首页 > news >正文

nacos未经授权创建用户漏洞

news 2025/7/4 15:50:41

漏洞背景:
Nacos 是一款广泛使用的动态服务发现和配置管理平台。未授权访问漏洞(CVE-2021-29441)允许攻击者在未认证的情况下直接访问管理接口,可能导致敏感配置泄露、服务篡改等风险。本指南提供完整修复方案及验证流程。

1、启用认证功能

vim application.properties

# 开启鉴权功能(默认false)
nacos.core.auth.enabled=true
# 关闭User-Agent白名单(避免绕过鉴权)
nacos.core.auth.enable.userAgentAuthWhite=false
# 可选:自定义JWT密钥(增强安全性)
nacos.core.auth.default.token.secret.key=自定义32位以上复杂字符串

2、重启nacos

systemctl restart nacos

3、验证
打开nacos部署服务器输入命令

curl -XPOST -d "username=test123&password=test!123" "http://ip:port/nacos/v1/auth/users"

显示下图成功:
在这里插入图片描述
显示下图不成功:
在这里插入图片描述

http://www.dtcms.com/a/86242.html

相关文章:

  • Word限定仅搜索中文或英文引号
  • DFS深搜
  • 算法基础——栈
  • 银河麒麟桌面版包管理器(二)
  • mysql学习-B+树相关问题
  • leetcode 108 将有序数组转换为二叉搜索树
  • HQChart使用教程46-K线图如何对接第3方数据42-DRAWTEXT_LINE数据结构
  • 20届智能车赛规则
  • python环境出现出现 pip: command not found 错误
  • 什么是张量计算
  • 动态规划:从暴力递归到多维优化的算法进化论(C++实现)
  • C++ 关系运算符重载和算术运算符重载的例子,运算符重载必须以operator开头
  • 【golang学习之旅】使用VScode安装配置Go开发环境
  • Linux文件系统知识
  • (undone) MIT6.824 Lecture 01 - Introduction
  • 【极速版 -- 大模型入门到进阶】快速了解大型语言模型
  • Modern C++面试题及参考答案
  • Smith3.0 4.0的阻抗匹配操作方法
  • Apache Doris学习
  • 让 MGR 不从 Primary 的节点克隆数据?
  • 字节DAPO算法:改进DeepSeek的GRPO算法-解锁大规模LLM强化学习的新篇章(代码实现)
  • NLP高频面试题(十一)——RLHF的流程有哪些
  • odata 搜索帮助
  • CS2 demo manager 安装
  • git 合并多次提交 commit
  • Problem: 73. 矩阵置零
  • Unity网络开发快速回顾
  • 人工智能在现代科技中的应用和未来发展趋势
  • Java问题小记——入职心得
  • 风控笔记4——市场风险管理