大工网安告[2024]012

一、 情况分析

Nacos是一个功能强大的服务注册与发现、配置管理平台，为微服务架构和云原生应用提供了重要的基础设施支持。

近日，官方修复Nacos Derby远程命令执行漏洞(QVD-2024-26473)，在默认配置下，未授权攻击者可利用该漏洞执行任意SQL语句，从而造成任意命令执行。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

威胁类型：命令执行。

技术类型：SQL注入。

利用条件：1.未开启身份认证。2.使用derby内置数据库。

危害描述：此漏洞允许未经身份验证的远程攻击者执行任意代码，可能导致数据泄露、服务中断或系统被完全控制。

二、 影响版本

Nacos <= 2.4.0 BETA

目前，已成功复现Nacos Derby 远程命令执行漏洞(QVD-2024-26473)，截图如下：

三、 处置建议

1.目前官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复，修复代码如下所示：

https://github.com/alibaba/nacos/commit/ed7bd03d4c214d68f51654fee3eea7ecf72fd9ab

2.开启Nacos derby数据库接口鉴权。具体操作请参考链接：

https://nacos.io/zh-cn/docs/v2/guide/user/auth.html