nacos的 Spring Security 身份认证绕过漏洞

  检测出了这个漏洞,但是nacos官方还没有升级文档,所以只能自行下载源码对 Spring-security -config的版本进行调整

 

如图,对原先的需要进行排除然后在引入漏洞以外的版本,因为是自己修改的,不确定升级版本是否会有未知的隐患,所以对版本是进行了降级的操作,需要修改的POM文件有两处,core和console的

 

目前部署的情况是,通过了漏洞检测,登录和更新配置文件无异常,目前先这样,待官方修补的版本出来后再行替换。

posted @ 2023-08-09 14:24  蓝海的bug本  阅读(344)  评论(0编辑  收藏  举报