Goby漏洞发布 | 0day NACOS /nacos/v1/cs/ops/data/removal RCE代码执行漏洞【已验证】
漏洞名称:NACOS /nacos/v1/cs/ops/data/removal RCE代码执行漏洞
English Name:NACOS /nacos/v1/cs/ops/data/removal Code Execution Vulnerability
CVSS core: 9.8
漏洞描述:
NACOS 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。
NACOS /nacos/v1/cs/ops/data/removal 存在代码执行漏洞,攻击者可以通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
FOFA查询规则:app=" Nacos"
受影响资产数量:13W+
受影响版本:
2.3.2-2.4.0
解决方案:
1、官方暂未修复该漏洞,可关注官方最新安全版本发布情况:https://nacos.io/zh-cn/index.html。
2、通过防火墙等安全设备设置访问策略,设置白名单访问。
3、如非必要,禁止公网访问该系统。
漏洞检测验证工具:
【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞利用效果如图所示:
