Odaily星球日報訊據慢霧消息,Nacos出現遠程代碼執行漏洞攻擊案例。 Nacos是Alibaba開源的一個更易於構建雲原生應用的動態服務發現、配置管理和服務管理平台,幫助用戶快速實現動態服務發現、服務配置、服務元數據及流量管理。 Nacos在處理某些基於Jraft的請求時,採用Hessian進行反序列化,但並未設置限制,導致應用存在遠程代碼執行(RCE)漏洞。其中,1.4.1 <= Nacos < 1.4.6,使用cluster集群模式運行受影響;1.4.0、2.0.0 <= Nacos < 2.2.3,任意模式啟動均受到影響。加密貨幣行業有大量平台採用此方案,請注意風險,並將Nacos升級到官方最新新版本。
dark