Spring Security 身份认证绕过漏洞(CVE-2023-34034)
Nacos-server.jar/BOOT-INF/lib/spring-security-web-5.6.9.jar:5.6.9
该如何解决?
目前针对 Nacos Spring Security 身份认证绕过漏洞有两种解决方案:
升级 Nacos 到最新版本。Nacos 在 2.0.3 版本中修复了此漏洞。
使用安全配置。可以在 Nacos 的 application.properties 文件中添加以下配置:
security:
ignored:
- /v1/auth/users/**
该配置将忽略 /v1/auth/users/** 路径下的所有请求,因此攻击者无法利用此漏洞绕过身份认证。
更多关于 Nacos 的安全配置信息,可以参考 Nacos 官方文档。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
阿里云拥有国内全面的云原生产品技术以及大规模的云原生应用实践,通过全面容器化、核心技术互联网化、应用 Serverless 化三大范式,助力制造业企业高效上云,实现系统稳定、应用敏捷智能。拥抱云原生,让创新无处不在。