阿里巴巴 Nacos 平台出现 0day，PoC 已公开

吉沃运营专员

阿里巴巴 Nacos 平台出现一个严重的 0day 漏洞，Nacos 平台是广泛使用的动态服务发现和配置管理开源工具。这一发现由安全研究人员披露，由于对依赖 Nacos 的云原生应用程序和微服务架构的潜在影响，引起了关注。

一、什么是 Nacos

Nacos 是 Naming and Configuration Service 的缩写，是阿里巴巴开发的开源平台，它是构建云原生应用程序和微服务平台的基石，提供动态服务发现、配置管理和服务管理功能，其易用性和强大的功能使其在全球开发人员中广受欢迎。

二、漏洞

新发现的 0day 漏洞影响 Nacos 2.3.2 和 2.4.0 版本，网络安全专家已经验证了研究人员发布的漏洞代码的合法性，确认其至少在 2.3.2 版本上有效。

由于缺乏现有的补丁或缓解措施，0day 漏洞非常危险。攻击者可以在开发人员解决问题之前利用它们，从而使系统和数据容易受到攻击。鉴于 Nacos 在云原生环境中的广泛采用，该漏洞的潜在影响是巨大的。

PoC：

zer0daysec

Good