Nacos Jraft Hessian反序列化远程代码执行漏洞预警

2023-06-08

一、概要

近日，华为云关注到Nacos发布更新版本，修复了一处反序列化远程代码执行漏洞。Nacos集群在处理基于Jraft的请求时，使用hessian进行反序列化，但没有对反序列化类进行限制，导致远程代码执行。目前漏洞利用细节已公开，风险高。

Nacos是一个开源的分布式服务发现、配置管理和服务管理平台。华为云提醒使用Nacos的用户尽快安排自检并做好安全加固。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

1.4.0 <= Nacos < 1.4.6

2.0.0 <= Nacos < 2.2.3

安全版本：

Nacos 1.4.6

Nacos 2.2.3

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/alibaba/nacos/releases/tag/1.4.6

https://github.com/alibaba/nacos/releases/tag/2.2.3

缓解措施：

该漏洞仅影响7848端口（默认设置下），该端口是Nacos集群间Raft协议的通信端口，不承载客户端请求，如果受影响的用户无法及时升级，可通过禁止该端口的请求来缓解此漏洞。

华为云主机安全（新版）HSS具备对该漏洞检测能力。华为云HSS用户在“风险预防”下的“漏洞管理-应用漏洞”可以对主机进行漏洞检测，具体方法请参见HSS漏洞检测。

注：修复漏洞前请将资料备份，并进行充分测试。