如何处理当前“Nacos 身份认证绕过漏洞”

开源服务管理平台 Nacos 中存在身份认证绕过漏洞,在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。

可以修改以下配置增强安全性:

目前官方已有可更新版本,建议受影响用户升级至2.2.0.1或以上版本

1、检查application.properties文件中token.secret.key属性,若为默认值,可参考:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改。

2、将Nacos部署于内部网络环境

那么token.secret.key有哪些作用?

`nacos.core.auth.plugin.nacos.token.secret.key`属性用于配置Token的密钥,它是一个字符串类型的值。Token密钥是用于生成和验证Token的加密密钥,它应该是一个随机的、复杂的字符串,以确保Token的安全性。在Nacos中,Token密钥是必需的,因为它用于加密和解密Token,以确保Token的真实性和完整性。

如果您想启用Nacos的Token认证功能,您需要在Nacos的配置文件中设置`nacos.core.auth.enabled`属性为`true`,并配置`nacos.core.auth.plugin.nacos.token.secret.key`属性为一个随机的、复杂的字符串。这样,只有持有有效Token的用户才能访问Nacos的API和服务。

请登录后发表评论