高危 Nacos Jraft 文件读写漏洞

CVE编号

N/A

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-08-15
漏洞描述
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。2024年8月,官方披露 Nacos Jraft 文件读写漏洞。原因是部分Jraft请求磁盘操作时未限制文件路径导致,官方已发布 2.4.1和1.4.8 版本修复该漏洞。
解决建议
1、升级至最新版本
2、利用安全组设置 Jraft 仅对可信地址开放。
参考链接
https://nacos.io/blog/announcement-nacos-security-problem-file/
阿里云评分
7.1
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-22 对路径名的限制不恰当(路径遍历)
阿里云安全产品覆盖情况