关于近期Nacos的任意文件读写漏洞说明及解决办法
近期Nacos社区收到关于Jraft端口(默认值7848)任意文件读写的漏洞,可通过此漏洞进行Nacos Server所在节点的文件读写。社区排查原因是部分Jraft请求磁盘操作时,未限制文件路径导致的问题。
社区在2.4.1和1.4.8版本中已经修复该漏洞,可以在官网下载页面进行下载,请旧版本用户尽快升级新版本,解决此安全风险。同时新部署的环境请使用最新版本进行部署。
十分抱歉给广大Nacos用户造成了困扰和问题。
下载地址&升级指南
关于安全漏洞的报告
由于安全漏洞的issue比较特殊,希望社区的安全工程师能够通过ASRC(Alibaba Security Response Center阿里安全响应中心) 告知漏洞。