近期Nacos社区收到关于Jraft端口（默认值7848）任意文件读写的漏洞，可通过此漏洞进行Nacos Server所在节点的文件读写。社区排查原因是部分Jraft请求磁盘操作时，未限制文件路径导致的问题。

社区在2.4.1和1.4.8版本中已经修复该漏洞，可以在官网下载页面进行下载，请旧版本用户尽快升级新版本，解决此安全风险。同时新部署的环境请使用最新版本进行部署。

十分抱歉给广大Nacos用户造成了困扰和问题。

下载地址&升级指南

download page.

upgrade guide

关于安全漏洞的报告

由于安全漏洞的issue比较特殊，希望社区的安全工程师能够通过ASRC（Alibaba Security Response Center阿里安全响应中心） 告知漏洞。