开发者社区 > 云原生 > 正文

Nacos Spring Security 身份认证绕过漏洞,该如何解决?

Spring Security 身份认证绕过漏洞(CVE-2023-34034)
Nacos-server.jar/BOOT-INF/lib/spring-security-web-5.6.9.jar:5.6.9
该如何解决?

展开
收起
2401。 2023-07-31 21:27:16 304 0
1 条回答
写回答
取消 提交回答
  • 目前针对 Nacos Spring Security 身份认证绕过漏洞有两种解决方案:

    升级 Nacos 到最新版本。Nacos 在 2.0.3 版本中修复了此漏洞。
    使用安全配置。可以在 Nacos 的 application.properties 文件中添加以下配置:
    security:
    ignored:

    - /v1/auth/users/**
    

    该配置将忽略 /v1/auth/users/** 路径下的所有请求,因此攻击者无法利用此漏洞绕过身份认证。

    更多关于 Nacos 的安全配置信息,可以参考 Nacos 官方文档。

    2023-09-28 10:51:10
    赞同 展开评论 打赏

阿里云拥有国内全面的云原生产品技术以及大规模的云原生应用实践,通过全面容器化、核心技术互联网化、应用 Serverless 化三大范式,助力制造业企业高效上云,实现系统稳定、应用敏捷智能。拥抱云原生,让创新无处不在。

相关电子书

更多
Spring Cloud Alibaba - 重新定义 Java Cloud-Native 立即下载
workshop专场-微服务专场-开发者动手实践营-微服务-使用Nacos进行服务的动态发现和流量调度 立即下载
Nacos 启航,发布第一个版本, 云原生时代助力用户微服务平台建设 立即下载

相关实验场景

更多