dataId=nacos.cfg.dataIdfoo ,配置内容为 helloworld
ip 是美国的
google 了一下“nacos.cfg.dataIdfoo”,发现了 nacos 存在鉴权绕过的漏洞,《 GHSL-2020-325: Authentication bypass in Nacos - CVE-2021-29441, CVE-2021-29442 》
在 github 仓库也发现了对应的 issue ,Report a security vulnerability in nacos to bypass authentication
并且论坛也曾经有人讨论过,nacos 出现严重安全漏洞
这个漏洞 21 年就被发现了,然而我去年在根据文档部署的时候,丝毫没有注意到关于该鉴权的强调,刚刚回头去看了眼文档,在[权限认证]的子栏目,才发现上面赫然写着:
Nacos 是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。
只好赶忙把 nacos 服务下掉了,如果有兄弟们部署了最好自查一下。
