一、背景介绍
近日,市委网信办技术支撑单位监测发现Nacos集群Raft反序列化漏洞(QVD-2023-13065)。
1.1 漏洞描述
在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。
1.2 漏洞编号
QVD-2023-13065
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
1.4.0 <= Nacos < 1.4.6
2.0.0 <= Nacos < 2.2.3
2.2 修复建议
目前官方已发布安全修复更新,受影响用户可以升级到 Nacos 1.4.6、Nacos 2.2.3。
https://github.com/alibaba/nacos/releases/tag/1.4.6
https://github.com/alibaba/nacos/releases/tag/2.2.3
缓解措施:由于该漏洞仅影响 7848 端口(默认设置下),客户可通过禁止该端口的请求来缓解此漏洞。