V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
nutting
V2EX  ›  全球工单系统

nacos 漏洞解决方法?

  •  
  •   nutting · 2023-05-15 23:15:30 +08:00 · 757 次点击
    这是一个创建于 566 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近出现一个漏洞,nacos 只要 post 一个 nacos/v1/auth/users/?username=aaa&password=bbb 就能添加用户。据说新版解决了漏洞,我就升级了 1.4.5 ,但是,光升级 jar 没用啊,必须配置开启 nacos.core.auth.enabled=true ,关闭 userAgentAuthWhite 。但是开启这个 nacos.core.auth.enabled ,我很多应用都需要配套改造连接配置密码的。 这是什么鬼啊,本身 nacos 有登录密码,你就解决这个 post 加用户的漏洞不行吗!

    zhaokun
        1
    zhaokun  
       2023-05-16 07:46:33 +08:00 via iPhone
    在内网下部署
    cslive
        2
    cslive  
       2023-05-16 08:59:23 +08:00
    这都多少年的漏洞,你还没修复?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2975 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:55 · PVG 22:55 · LAX 06:55 · JFK 09:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.