一、概要
近日，基調(diào)聽云關(guān)注到nacos組件存在允許對(duì)節(jié)點(diǎn)任意文件進(jìn)行讀寫操作漏洞。Nacos使用Jraft請(qǐng)求磁盤操作時(shí)，未限制文件路徑，通過此漏洞攻擊者可以對(duì)Nacos Server所在節(jié)點(diǎn)的任意文件進(jìn)行讀寫操作。
參考鏈接：https://nacos.io/blog/announcement-nacos-security-problem-file/
二、威脅級(jí)別
威脅級(jí)別：【高?！?br /> 三、CVSS評(píng)分
7.1(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)
四、漏洞影響范圍
影響版本：1.4.8、2.4.1以下版本
安全版本：
1.4.8、2.4.1
五、漏洞排查及處置
目前，基調(diào)聽云已發(fā)布新補(bǔ)丁修復(fù)了該漏洞，請(qǐng)受影響的用戶聯(lián)系相應(yīng)的技術(shù)支持升級(jí)到安全版本。