nacos 2.2.3被公司安全工程师扫出来漏洞了，貌似是可以不登录直接进后台，这个有发现吗？

为了防止这种情况发生，我建议你采取如下措施：

1. 启用身份验证：你可以通过修改 Nacos 配置文件中的 auth.enabled 参数来启用 Nacos 身份验证机制。在 conf/application.properties 文件中，将 auth.enabled 参数设置为 true 并创建相关的用户名和密码，以强制用户在访问后台界面时输入正确的凭据。

auth.enabled=true

1. 使用 SSL/TLS 加密通信：您应该考虑在服务器上安装 SSL/TLS 证书，并在 Nginx 或 Apache 等代理服务器上强制 HTTPS 连接，以加密所有通信。

2. 只允许内部网络访问 Nacos 服务器：使用防火墙或其他网络安全措施限制外部 IP 地址访问 Nacos 服务器，以免受到攻击者入侵。

确实，Nacos 2.2.3版本存在一个认证绕过漏洞。这个漏洞是由于在默认配置下，未对 token.secret.key 进行修改，导致远程攻击者可以绕过密钥认证进入后台。然而，根据Nacos官方github项目的更新记录，已经在2.2.0.1版本对应修复了这个问题，移除了默认鉴权插件中依赖的 nacos.core.auth.plugin.nacos.token.secret.key 默认值。同时，社区在处理控制台登陆页面和鉴权功能的关联问题，预计在完成后，未开启鉴权的集群将不再强制需要 token.secret.key。所以您只需升级至最新的修复版本即可解决这个问题。

这是没开鉴权吧
https://nacos.io/zh-cn/docs/v2/guide/admin/cluster-mode-quick-start.html

可以参考这里。此回答整理自钉群“Nacos社区群4”