CVE

Vulnerabilidad en la autenticación (-Dnacos.core.auth.enabled=true) en Nacos (CVE-2021-29441)

Severidad:
CRÍTICA
Type:
No Disponible / Otro tipo
Fecha de publicación:
27/04/2021
Última modificación:
07/05/2021

Descripción

Nacos es una plataforma diseñada para el descubrimiento y la configuración dinámica de servicios y la gestión de servicios. En Nacos versiones anteriores a 1.4.1, cuando se configura para usar autenticación (-Dnacos.core.auth.enabled=true), Nacos usa el filtro de servlet AuthFilter para hacer cumplir la autenticación. Este filtro presenta una backdoor que permite a servidores de Nacos omitir este filtro y, por lo tanto, omitir las comprobaciones de autenticación. Este mecanismo es basado en el encabezado HTTP del agente de usuario para que pueda falsificarse fácilmente. Este problema puede permitir a cualquier usuario llevar a cabo cualquier tarea administrativa en el servidor de Nacos

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:alibaba:nacos:*:*:*:*:*:*:*:* 1.4.1 (excluyendo)


Ir arriba