开发者社区 > 云原生 > 正文

nacos2.2.3Spring Security 身份认证绕过漏洞漏洞需要怎么避免呢?

nacos2.2.3Spring Security 身份认证绕过漏洞漏洞需要怎么避免呢?
iwEcAqNwbmcDAQTRBHcF0QMoBrBZPikf0E84bwT7bs60nLsAB9IfKOGRCAAJomltCgAL0gAA640.png_720x720q90.jpg

展开
收起
青城山下庄文杰 2023-09-23 14:12:12 423 0
1 条回答
写回答
取消 提交回答
  • nacos2.2.3Spring Security 身份认证绕过漏洞是一种高危的访问控制绕过漏洞,攻击者可以通过FORWARD或 INCLUDE调度绕过授权规则的影响。该漏洞已经在nacos2.2.4版本中修复。

    为了避免该漏洞,您可以采取以下措施:

    • 升级nacos到最新版本,目前是2.3.0。
    • 修改nacos配置文件中的nacos.core.auth.plugin.nacos.token.secret.key值,不要使用默认的密钥。
    • 开启nacos的权限认证,并在应用服务的配置文件中添加nacos的用户名和密码。
    2023-10-17 16:59:33
    赞同 1 展开评论 打赏

阿里云拥有国内全面的云原生产品技术以及大规模的云原生应用实践,通过全面容器化、核心技术互联网化、应用 Serverless 化三大范式,助力制造业企业高效上云,实现系统稳定、应用敏捷智能。拥抱云原生,让创新无处不在。

相关电子书

更多
Spring Cloud 微服务核心组件集 mica 的设计思路 立即下载
workshop专场-微服务专场-开发者动手实践营-微服务-Spring Cloud Alibaba 微服务全家桶体验 立即下载
云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧 立即下载

相关实验场景

更多