Goby 漏洞发布|Nacos Jraft 服务文件读取漏洞【已复现】

news/2024/11/17 21:14:40/文章来源:https://www.cnblogs.com/gobybot/p/18389360

漏洞名称:Nacos Jraft 服务文件读取漏洞
English Name:Nacos Jraft Services File Read Vulnerability
CVSS core: 5.0

漏洞描述:

NACOS 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。

在Nacos<=2.4.0.1版本中集群模式启动下的NACOS Jraft端口(默认值7848)存在任意文件读取的漏洞。

FOFA自检语句:

banner=“x00”&& banner=“x12” && banner=“x04” && banner=“x7f” && banner=“xff” && banner=“request”

受影响资产数量: 46338

受影响版本:

Nacos<=2.4.0.1

解决方案:

厂商已发布了漏洞修复程序,请及时关注更新:https://nacos.io/blog/announcement-nacos-security-problem-file/

漏洞检测工具:

【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞利用效果如图所示:

获取Goby:获取Goby
查看Goby更多漏洞:[Goby历史漏洞合集]
关注Goby公众号获取最新漏洞情报动态:Gobysec

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/789749.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据自动上传共享盘

新建脚本文件 新建如下两个脚本文件在D盘中 runbat.vbs myxcopy.batrunbat为vbs脚本,主要作用为调用myxcopy.bat 以隐藏处理窗口,内容如下:createobject("wscript.shell").run "myxcopy.bat",0myxcopy为批处理程序,主要用于上传文件。内容如下:@echo …

智慧加油站视频监控行为识别分析系统

智慧加油站视频监控行为识别分析系统选用视频监控系统智能分析技术,对给油区和卸油区工作人员抽烟、通电话、用火、浓烟等异常现象开展智能识别、警报和纪录,智慧加油站视频监控行为识别分析系统在卸油工作流程中,工作人员不在座位,消防灭火器置放不合理,静电感应释放出来…

LTspice使用教程,LTspice仿真教程资源大全

LTspice简介 LTspice 是 英文 Simulation Program with Integrated Circuit Emphasis 的缩写,意思是集成电路通用模拟程序。是ADI旗下的一款免费软件,很多国外的工程师、教授、学生基本用的都是LTspice,感觉应该是最好用的一款,也是教程在国内普及的比较好的一款仿真软件。…

智能ai行为分析监控

智能ai行为分析监控技术应用是人工智能科学研究的一个支系。它可以在监控规则和现场画面具体内容叙述中间创建投射关联,智能ai行为分析监控分析以分析和识别为基本,随后利用视觉算法实际操作技术水平对监控画面开展鉴别、追踪和检测。大家可以根据提取视频中的核心信息内容,…

AI行为识别视频监控系统

AI行为识别视频监控系统在安防监控行业也得到了长足的进步。尤其是,AI行为识别视频监控系统方面的公司将动态性认知能力视作公司发展的核心技术之一。人工智能技术行为识别技术可以与此同时剖析同一台监控摄像头的很多出现异常行为,而且可以与此同时识别情景中的很多个出现异…

监控视频智能分析软件

伴随着监控视频智能分析软件的发展,传统式的电视机监控已经逐步被新的智能视频监控技术性所替代,因为它不足精确。随着监控视频智能分析软件和智能城市规划建设的逐步推进,也促使了优化算法准确度和自然环境适应能力的不断提升,智能视频分析技术性的运用将获得规模性布署,…

从代码到产品,我的IT职业成长之路y5

每个人的职业生涯都是一段充满转折和挑战的旅程,当然每一次职业转型都是一次重新定义自己的机会,从2015年开始,当时我刚踏入IT行业,成为一名Java开发者,后来随着时间的推移,我的职业方向逐渐转向了前端开发者,埋头于代码的世界。最终在2018年找到了属于自己的职业定位—…

打包exe_java

主要实现步骤 1, 将代码打包成jar包。 2, 整合资源文件 3, 将jar包打包成exe 4, 将jdk、资源文件、jar包转换后的exe三者再次打包成最终的exe。 准备软件 1, Idea:将代码打包成jar包(java形式的压缩包) 2, exe4j:将jar包转换成exe的工具。 3, innoset…

【信息收集】思维导图

本系列转载自"freebuf社区",侵删

AI自动化副业创收班手把手带你提升副业收益

副业创收已经成为行业趋势,在当前经济形势下,许多人面临着行业裁员的不确定性。为了增强个人的抗风险能力,寻求一份副业已经成为一种重要的趋势。这不仅是经济上的补充,更是对自由与独立的一种追求——它应让你自主掌控,不被外界束缚。通过精心打造的副业,你不仅可以灵活…

【信息收集】移动资产收集

一、微信小程序支付宝小程序二、app软件搜索一、微信小程序支付宝小程序 现在很多企业都有小程序,可以关注企业的微信公众号或者支付宝小程序,或关注运营相关人员,查看朋友圈,获取小程序。 https://weixin.sogou.com/weixin?type=1&ie=utf8&query=%E6%8B%BC%E5%A4…

算法专项—新手村

纵有疾风起;人生不言弃!根据对码蹄集新手村的刷题经验;此片文章对python基本的语法进行简单的总结!一:python输入输出 1、python 中使用print函数输出语句;默认print输出会打印回车;在python中双引号和单引号的作用是相同的! print("gsupl") print("gsup…