nacos 漏洞解决方法?

2023-05-15 23:15:30 +08:00
 nutting

最近出现一个漏洞,nacos 只要 post 一个 nacos/v1/auth/users/?username=aaa&password=bbb 就能添加用户。据说新版解决了漏洞,我就升级了 1.4.5 ,但是,光升级 jar 没用啊,必须配置开启 nacos.core.auth.enabled=true ,关闭 userAgentAuthWhite 。但是开启这个 nacos.core.auth.enabled ,我很多应用都需要配套改造连接配置密码的。 这是什么鬼啊,本身 nacos 有登录密码,你就解决这个 post 加用户的漏洞不行吗!

743 次点击
所在节点    全球工单系统
2 条回复
zhaokun
2023-05-16 07:46:33 +08:00
在内网下部署
cslive
2023-05-16 08:59:23 +08:00
这都多少年的漏洞,你还没修复?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/940255

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX