修复Nacos namespaces未授权访问漏洞【原理扫描】

最新推荐文章于 2026-05-15 13:56:16 发布
原创 最新推荐文章于 2026-05-15 13:56:16 发布 · 1.3k 阅读 · 6 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#运维 #java #spring cloud

  近日,我们自己的微服务应用通过绿盟软件扫描到了有关nacos的namespaces问题,在这里记录一下,供有需要的人参考。

一、问题描述

nacos版本: 2.5.0

存在问题: Nacos namespaces未授权访问漏洞【原理扫描】

问题复现:
在这里插入图片描述
漏洞扫描结果:
在这里插入图片描述

官方明确说明:
  /nacos/v2/console/namespace接口是Nacos用于展示集群中存在的命名空间列表的OpenAPI,其设计初衷是为了提供公开数据,允许所有访问者获取这些信息,类似于查询云平台支持的Region列表。因此,该接口默认不支持关闭,也未实施鉴权措施。
  如果确实有安全需求要限制此接口的访问,唯一的途径是根据Nacos的源代码进行自定义修改,比如增加鉴权逻辑或者改变接口行为,随后重新编译并部署Nacos服务。

参考链接:https://www.nacos.io/blog/faq/nacos-user-question-history11025/?spm=55c5c5db.2ef5001f.0.0.73a53b7ch0jUQm

二、问题修复

  这里需要下载对应nacos版本的源码程序。我的是:2.5.0

下载地址: https://github.com/alibaba/nacos/tree/2.5.0?spm=55c5c5db.2ef5001f.0.0.73a53b7ch0jUQm

  然后使用idea工具打开,修改以下两个文件即可。

1、NamespaceController

在这里插入图片描述

@Secured(resource = AuthConstants.CONSOLE_RESOURCE_NAME_PREFIX + "namespaces", action = ActionTypes.READ)

2、NamespaceControllerV2

在这里插入图片描述

@Secured(resource = AuthConstants.CONSOLE_RESOURCE_NAME_PREFIX
            + "namespaces", action = ActionTypes.READ, signType = SignType.CONSOLE)

全部修改完毕后,执行打包构建命令

mvn -Prelease-nacos -DskipTests clean install -U

使用新生成的压缩包或者替换nacos-server.jar包,重启服务,问题修复。
在这里插入图片描述

验证:
在这里插入图片描述

Nacos Namespaces未授权访问漏洞的防御策略
SilverMoon18的博客
01-09 742
最近在项目中使用Nacos作为配置中心时,遇到了一个常见的安全问题——Namespaces未授权访问漏洞。经过一番研究和实践,我总结了几种有效的防御措施,分享给大家参考。平台内置了Nacos服务,无需自己搭建复杂的环境就能验证各种配置方案,大大提高了测试效率。特别是它的一键部署功能,让我能快速验证配置修改后的效果,非常实用。建议大家在实施安全方案前,可以先在这样的环境中进行充分测试,确保配置正确无误再应用到生产环境。通过以上多层次的防御措施,可以有效降低Nacos Namespaces未授权访问的风险。
Nacos Namespace 未授权访问漏洞
R先生专栏
04-08 4043
Nacos Namespace 未授权访问漏洞
Nacos 2.x鉴权踩坑记:手把手教你修复namespaces接口未授权访问(附源码修改)
weixin_29324401的博客
03-31 439
本文详细介绍了Nacos 2.x中namespaces接口未授权访问漏洞修复过程,包括问题定位、源码分析和手工修复方案。通过添加@Secured注解和重新编译部署,有效解决了这一安全隐患,并提供了网络层和应用层的纵深防御建议,帮助开发者提升微服务配置中心的安全性。
Nacos漏洞修复Nacos未授权访问漏洞(CVE-2021-29441)
热门推荐
m0_52985087的博客
03-20 1万+
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
Nacos namespaces未授权访问原理扫描】 复现与修复
学习笔记,相关教程 分享
12-22 4215
在启用 Nacos 鉴权(nacos.core.auth.enabled=true)后,你是否以为所有接口都已受保护?快来看看交流吧
nacos安全测评漏洞nacos未授权访问漏洞原理扫描
Yang_RR的博客
05-11 5469
nacos目前使用的版本为v2.0.3,后台管理界面虽然有账号密码的登录验证,但是服务注册和读取配置没有认证配置。
企业级Nacos Namespaces漏洞实战修复指南
GoldenleafLynx28的博客
01-07 547
通过简单的curl命令,攻击者可以直接访问Nacos的API接口获取所有命名空间列表。更危险的是,无需任何认证就能读取任意命名空间下的配置内容。最近在安全审计时,我们发现了一个典型的Nacos Namespaces未授权访问漏洞案例,这种漏洞可能导致敏感配置信息泄露。平台的一键部署功能特别适合这类需要完整运行环境的场景,省去了繁琐的配置过程。我测试时发现,从创建项目到环境就绪只需要几分钟,还能随时调整配置反复验证修复方案,对安全研究很有帮助。只有提供正确的账号密码并通过权限校验,才能获取到对应的配置信息。
Nacos namespaces漏洞 未授权访问漏洞原理扫描
最新发布
Counter-Strike大牛
05-15 176
摘要:Nacos存在未授权访问漏洞,可通过接口直接获取命名空间信息。修复方案包括升级到3.0.0+版本或修改源码。本文详细介绍了源码修复方法:下载对应版本源码后,在NamespaceController和NamespaceControllerV2类中添加安全注解,然后重新打包部署。该方法避免了升级版本带来的兼容性问题,适合需要快速修复的场景。
AI如何自动检测Nacos Namespaces未授权漏洞
SunstoneLion34的博客
01-08 690
最近在微服务架构的安全审计中,发现Nacos配置中心的Namespaces未授权访问是个高频漏洞。传统人工检测效率低下,于是尝试用AI技术打造自动化扫描方案,效果出乎意料。分享下这个智能检测工具的实现思路和实战经验。对于需要持续监控的场景,平台的一键部署功能特别实用,无需搭建复杂环境就能运行整套检测系统。测试发现即使是安全新手,也能通过这个工具快速掌握Nacos的安全防护要点。实现一键部署,包含完整的前端展示界面。使用AI模型分析响应特征判断漏洞存在。这个AI驱动的检测工具已在。自动处理重定向和会话保持。
Nacos Namespaces漏洞对企业安全的潜在影响
NightshadeEagle34的博客
01-10 695
NacosNamespaces功能本应实现多租户隔离,但当未正确配置权限时,攻击者可以绕过认证直接访问、修改其他租户的配置信息。平台的一键部署功能让我能快速搭建测试环境,通过简单的配置就能复现问题,验证修复方案是否有效。企业安全无小事,像Nacos Namespaces这样的配置管理工具漏洞往往被忽视,但可能成为系统安全的致命弱点。想象一下,如果有人把微服务的调用地址指向恶意服务器,或者修改了超时、重试等关键参数,整个系统的行为都可能被操控。这样的工具进行安全验证,我们可以有效降低这类漏洞带来的威胁。
Nacos Namespaces未授权访问漏洞深度解析
NightshadeRaven21的博客
01-08 771
最近在排查微服务配置中心的安全问题时,发现NacosNamespaces功能存在一个值得警惕的未授权访问漏洞。这个漏洞如果被利用,攻击者可以绕过认证直接访问敏感配置信息,对系统安全造成严重威胁。下面我就详细分析下这个漏洞的来龙去脉。它让我可以快速搭建测试环境验证漏洞修复效果,整个过程非常流畅,省去了繁琐的环境配置工作。这个漏洞的核心在于Nacos对REST API的鉴权机制存在缺陷。正常情况下,访问配置信息需要提供有效的accessToken,但攻击者可以通过构造特殊请求绕过这一限制。
修复Nacosnamespaces未授权访问漏洞原理扫描
JAVA小章的博客
12-25 562
下载完成后对console文件夹下的NamespaceController进行修改,添加注解。将新生成的压缩包部署或者直接替换noacos-server.jar包。下载对应版本nacos源码,我的是2.5.0。对v2文件加下的添加。打包验证等待执行完成。
nacos未授权访问漏洞原理扫描
Gblfy_Blog
04-07 4184
解决方案 vim /nacos/conf/application.properties 添加 #开启认证配置 nacos.core.auth.enabled=true
Alibaba Nacos 集群API未授权访问漏洞原理扫描】彻底解决
yh
06-19 3054
Alibaba Nacos 集群API未授权访问漏洞nacos2.x升级至3.x
如何自动化检测Nacos Namespaces未授权访问漏洞
EmeraldWolf23的博客
01-08 871
最近在安全测试工作中遇到了Nacos配置中心的未授权访问问题,这种漏洞如果被利用,攻击者可以直接获取敏感配置信息甚至接管整个系统。Nacos作为流行的服务发现和配置管理平台,默认会开放7848端口提供HTTP API接口。实际操作中发现,平台的环境配置非常简单,不需要自己折腾各种依赖,特别适合快速验证漏洞和防护方案。通过这种自动化检测方案,我们团队已经帮助多个业务系统发现了Nacos配置安全问题。希望这个分享对大家的安全工作有所帮助。这种漏洞在企业内网特别危险,因为很多系统都依赖Nacos的配置。
JDK安装2023最完整教程与配置(零基础)
bdfcfff77fa的博客
06-19 1705
JDK安装2023最完整教程与配置(零基础)
Nacos 未授权访问漏洞【抓紧修复!】
甘蓝的专栏
09-23 1567
讲述Nacos未授权漏洞,从问题成因、模拟重新到根本解决。
nacos未经授权创建用户漏洞
秦子腾
03-23 1362
打开nacos部署服务器输入命令 curl -XPOST -d “username=test123&password=test!
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一条代码鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值