Descripción de la vulnerabilidad
Nacos es una plataforma para el descubrimiento y la configuración de servicios dinámicos y la gestión de servicios.
Un atacante puede usar Hessian para realizar una deserialización ilimitada cuando el clúster de Nacos procesa ciertas solicitudes de Jraft, lo que resulta en la ejecución remota de código.
Dado que Nacos escucha el puerto 7848 de forma predeterminada para procesar las solicitudes del protocolo Raft, los atacantes pueden aprovechar esta vulnerabilidad enviando paquetes de datos creados con fines malintencionados al puerto 7848.
Nombre de vulnerabilidad | Vulnerabilidad de deserialización de Raft del clúster de Nacos |
---|---|
tipo de vulnerabilidad | deserialización |
Tiempo de descubrimiento | 2023/6/6 |
Amplitud de vulnerabilidad | ancho |
Número MPS | MPS-x09i-fgr6 |
número CVE | - |
número CNVD | - |
Esfera de influencia
com.alibaba.nacos:nacos-consistency@[1.3.0, 1.4.6)
com.alibaba.nacos:nacos-consistency@[2.0.0, 2.2.3)
Plan de reparación
Actualice el componente com.alibaba.nacos:nacos-consistency a la versión 2.2.3 o posterior
Prohibir el protocolo Raft (el puerto 7848 está configurado de forma predeterminada) para recibir solicitudes desde fuera del clúster de Nacos
Link de referencia
https://www.oscs1024.com/hd/MPS-x09i-fgr6
https://github.com/alibaba/nacos/releases/tag/2.2.3
https://github.com/alibaba/nacos/commit/08e350795e9fb663c12811aae98dc41639f2c170
https://github.com/alibaba/nacos/commit/6080b01ce6e3a62392e85187f5e62dbbf40a992c
https://github.com/alibaba/nacos/releases/tag/1.4.6
Acerca de Murphy Security
Murphy Security es una empresa de tecnología que le brinda administración de seguridad de la cadena de suministro de software profesional. El equipo central proviene de Baidu, Huawei, Wuyun y otras empresas. La compañía brinda a los clientes una plataforma completa de administración de seguridad de la cadena de suministro de software y proporciona software con un ciclo de vida completo en torno a la gestión de seguridad SBOM, las capacidades de la plataforma incluyen análisis de componentes de software, gestión de seguridad de origen, detección de imágenes de contenedores, alerta temprana de inteligencia de vulnerabilidad y evaluación de acceso a la cadena de suministro de software comercial y otros productos. Proporcione a los clientes capacidades de control completas desde la gestión de identificación de activos de la cadena de suministro, detección de riesgos, control de seguridad y reparación con una sola tecla.
Proyecto de código abierto: https://github.com/murphysecurity/murphysec/?sf=qbyj
El producto se puede integrar con varias herramientas en el proceso de desarrollo existente a un costo muy bajo, incluida la integración perfecta con docenas de herramientas como IDE, Gitlab, Bitbucket, Jenkins, Harbor y Nexus.
Herramienta de detección de seguridad de código gratuita: https://www.murphysec.com/?sf=qbyj
Suscripción de inteligencia gratuita: https://www.oscs1024.com/cm/?sf=qbyj