世界球精选！Nacos集群Raft反序列化漏洞安全风险通告

01漏洞详情

影响组件

Nacos是一个易于使用的平台，专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。

漏洞描述

近日，奇安信CERT监测到Nacos 集群Raft反序列化漏洞(QVD-2023-13065)，在Nacos集群处理部分Jraft请求时，攻击者可以无限制使用hessian进行反序列化利用，最终实现代码执行。鉴于该漏洞仅影响集群间通信端口 7848（默认配置下），若部署时已进行限制或未暴露则风险可控，建议客户做好自查及防护。

02影响范围

影响版本

1.4.0<=nacos<1.4.6< p="">

2.0.0<=Nacos<2.2.3

其他受影响组件

无

03处置建议

安全更新

目前官方已发布安全修复更新，受影响用户可以升级到Nacos 1.4.6、Nacos 2.2.3

https://github.com/alibaba/nacos/releases/tag/1.4.6

https://github.com/alibaba/nacos/releases/tag/2.2.3

缓解措施

由于该漏洞仅影响7848端口（默认设置下），客户可通过禁止该端口的请求来缓解此漏洞。

04参考资料

[1]https://github.com/alibaba/nacos/releases/tag/1.4.6

[2]https://github.com/alibaba/nacos/releases/tag/2.2.3

标签：