Nacos身份认证绕过漏洞解决

一、备份

1.1 备份nacos

停止nacos服务
/web/nacos/bin/shutdown.sh
cd /web
mv nacos nacosbak-20231128

1.2 备份mysql数据

mysqldump -u root -p -A >/web/nacos-20231128.sql

二、部署新版nacos

2.1 下载nacos安装包

cd /web
wget https://github.com/alibaba/nacos/releases/download/2.2.0.1/nacos-server-2.2.0.1.tar.gz

2.2 解压缩安装包

tar xf nacos-server-2.2.0.1.tar.gz

2.3 修改配置文件

cd /web/nacos/conf/
vim application.properties

2.4 修改如下配置

spring.datasource.platform=mysql
db.num=1
db.url.0=jdbc:mysql://192.168.0.103:3306/nacos?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true&useUnicode=true&useSSL=false&serverTimezone=UTC
db.user.0=nacos
db.password.0=nacos
nacos.core.auth.plugin.nacos.token.secret.key=VGhpc0lzTXlDdXN0b21TZWNyZXRLZXkwMTIzNDU0Nzg=

2.5 启动nacos服务

cd /web/nacos/bin
./startup.sh -m standalone

2.6 查看日志

tailf ../logs/start.out

浏览器访问
http://192.168.0.103:8848/nacos
默认的用户名：nacos
密码：nacos

2.7 验证平台功能

三、回退方案

3.1 停止新部署的nacos

/web/nacos/bin/shutdown.sh

3.2 删除新部署的安装目录

cd /web
rm -fr nacos/

3.3 将之前备份的nacos恢复

mv nacosbak-2023128 nacos

3.4 启动nacos

cd /web/nacos/bin
./startup.sh -m standalone

3.5 验证平台功能