Nacos 高危漏洞_阿里云安全指南-阿里云帮助中心

【修复指南】Nacos 高危漏洞

风险描述

Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。历史上由于配置不当、授权不当等，导致攻击者可未授权或者构造恶意请求访问Nacos，造成敏感信息泄漏等。

修复建议

1、常见安全问题排查和修复方案，详见Nacos官方文档：《Nacos安全使用最佳实践 - 访问控制实践》。

安全问题	修复建议
JwtToken默认key签名伪造	1、检查token.secret.key是否为默认值：SecretKey01234567890123456789012345678901234567890123456789012345678，并尽快更新为自定义的Base64字符串，并确保所有Nacos节点中的该配置值/环境变量保持一致。非镜像部署的Nacos，修改配置文件中配置项nacos.core.auth.plugin.nacos.token.secret.key或nacos.core.auth.default.token.secret.key 镜像部署的Nacos，修改环境变量NACOS_AUTH_TOKEN
API存在未授权访问/权限绕过	1、参照“JwtToken默认key签名伪造”修复建议检查并更新token.secret.key。 2、检查server.identiy是否为默认值serverIdentity和security，并尽快更新为自定义的Base64字符串，并确保所有Nacos节点中的该配置值/环境变量保持一致。非镜像部署的Nacos，修改配置文件中配置项nacos.core.auth.server.identity.key和nacos.core.auth.server.identity.value 镜像部署的Nacos，修改环境变量NACOS_AUTH_IDENTITY_KEY、NACOS_AUTH_IDENTITY_VALUE 3、在确认token.secret.key和server.identity非默认值后，请检查鉴权开关是否被关闭，并及时打开鉴权开关。非镜像部署：设置配置文件配置项nacos.core.auth.enabled值由false改为true docker镜像部署：给容器添加环境变量NACOS_AUTH_ENABLE值为true
sql注入/actuator接口信息泄露	升级至最新版本以防范该类风险

2、修复验证。在完成配置修改后，前往安全管控-安全体检，重新检测漏洞，确认是否成功修复。

3、处置可能泄露的密钥。若您在Nacos服务中明文存储过密钥（阿里云API密钥AccessKey，以下简称AK），建议您尽快轮转和禁用相关AK，可参考实践文档：AccessKey泄露处理方案。

若您在修复过程中遇到任何困难或有其他相关疑问，可前往安全管控，在更多安全服务板块点击提交工单，联系技术工程师获取支持。