关于Nacos Jraft Hessian反序列化漏洞的预警提示

发布时间: 2023-07-04      访问次数: 563

一、漏洞详情

Nacos是一个易于使用的动态服务发现、配置和服务管理平台,用于构建云原生应用程序。

近日Nacos发布更新版本,修复了一个反序列化漏洞。由于Nacos集群处理部分Jraft请求时,未限制使用hessian进行反序列化,可能导致远程代码执行。但该漏洞仅影响7848端口(默认设置下),一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此可以通过禁止该端口来自Nacos集群外部的请求来进行缓解。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

1.4.0<=Nacos版本<1.4.6

2.0.0<=Nacos版本<2.2.3

三、修复建议

目前该漏洞已经修复,受影响用户可更新到Nacos 版本1.4.62.2.3

下载链接:

https://github.com/alibaba/nacos/releases/tag/1.4.6

https://github.com/alibaba/nacos/releases/tag/2.2.3