热门标签
热门文章
- 1编程思想之多线程与多进程(4)——C++中的多线程_c++ windows 多进程函数
- 2Python爬虫入门教程:超级简单的Python爬虫教程_python爬虫代码及运行结果
- 3linux mysql集群搭建_Linux下构建MySQL集群
- 4kali安装Docker的方法+一次错误体验(第一行错误)_kali docker安装
- 5Elasticsearch处理数据关联关系_elasticsearch 反范式的关联能力
- 6FPGA开发——状态机的使用_fpga状态机状态用独热码还是格雷码
- 7【Kubernetes】 它是什么?为什么要拥抱它?
- 8OpenGL和OpenCV
- 9NLP之:百度SKEP_skep百度
- 10Python数值分析:那些我好像会的基础
当前位置: article > 正文
Nacos Derby 远程命令执行漏洞(QVD-2024-26473)
作者:码创造者 | 2024-08-20 20:36:21
赞
踩
nacos derby 远程命令执行漏洞
0x01 产品简介
Nacos 是一个功能强大的服务注册与发现、配置管理平台,为微服务架构和云原生应用提供了重要的基础设施支持。
0x02 漏洞概述
由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。目前该漏洞PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议尽快做好自查及防护。此漏洞允许未经身份验证的远程攻击者执行任意代码,可能导致数据泄露、服务中断或系统被完全控制。
0x03 影响范围
Nacos <= 2.4.0-BETA
0x04 复现环境
FOFA:app="NACOS"
0x05 漏洞复现
利用条件:
需要运气好撞出tmp,利用时间长
removal接口没有鉴权
derby没有鉴权,存在20年的sql注入
利用工具:
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/码创造者/article/detail/1008625
推荐阅读
相关标签
