近日,我们自己的微服务应用通过绿盟软件扫描到了有关nacos的namespaces问题,在这里记录一下,供有需要的人参考。
一、问题描述
nacos版本: 2.5.0
存在问题: Nacos namespaces未授权访问漏洞【原理扫描】
问题复现:
漏洞扫描结果:
官方明确说明:
/nacos/v2/console/namespace接口是Nacos用于展示集群中存在的命名空间列表的OpenAPI,其设计初衷是为了提供公开数据,允许所有访问者获取这些信息,类似于查询云平台支持的Region列表。因此,该接口默认不支持关闭,也未实施鉴权措施。
如果确实有安全需求要限制此接口的访问,唯一的途径是根据Nacos的源代码进行自定义修改,比如增加鉴权逻辑或者改变接口行为,随后重新编译并部署Nacos服务。
二、问题修复
这里需要下载对应nacos版本的源码程序。我的是:2.5.0
下载地址: https://github.com/alibaba/nacos/tree/2.5.0?spm=55c5c5db.2ef5001f.0.0.73a53b7ch0jUQm
然后使用idea工具打开,修改以下两个文件即可。
1、NamespaceController
bash
@Secured(resource = AuthConstants.CONSOLE_RESOURCE_NAME_PREFIX + "namespaces", action = ActionTypes.READ)2、NamespaceControllerV2
bash
@Secured(resource = AuthConstants.CONSOLE_RESOURCE_NAME_PREFIX
+ "namespaces", action = ActionTypes.READ, signType = SignType.CONSOLE)全部修改完毕后,执行打包构建命令
bash
mvn -Prelease-nacos -DskipTests clean install -U使用新生成的压缩包或者替换nacos-server.jar包,重启服务,问题修复。
验证:
