防城港网站制作北京建设信源咨询有限公司网站

【漏洞详情】
漏洞描述：Alibaba Nacos derby 存在远程代码执行漏洞，由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问，恶意攻击者利用此漏洞可以未授权执行SQL语句，从而远程加载恶意构造的jar包，最终导致任意代码执行。

目前受影响的Alibaba Nacos版本：
2.2.0 < Alibaba Nacos ≤ 2.4.0（未开启鉴权）
Alibaba Nacos ≤ 2.2.0

该漏洞需要通过配置鉴权进行缓解，但是Alibaba Nacos 低版本存在未授权漏洞，即使开启鉴权也存在权限绕过漏洞，因此用户需要先升级到高版本Alibaba Nacos，再开启鉴权，步骤如下。
（1）Alibaba Nacos 2.2.0以上的版本（不包含2.2.0版本）修复了未授权漏洞，请受影响用户更新到最新版本。下载链接：https://nacos.io/download/nacos-server
（2）需要开启Alibaba Nacos鉴权。参考链接：https://nacos.io/zh-cn/docs/v2/guide/user/auth.html

问题：系统使用的是1.3.2的版本，但是用的不是derby数据库，是外部的mysql数据库，目前根据调查的资料不存在这个漏洞。

Derby数据库简介及其在Nacos中的应用

https://zhuanlan.zhihu.com/p/684048130

nacos1.0升级到2.0,客户端要做升级吗

nacos1.0升级到2.0,客户端要做升级吗 | Nacos 官网

根据已知信息，当Nacos从1.0升级到2.0时，客户端确实需要进行升级。原因在于Nacos2.0在API层面做了较大调整，包括将大量客户端访问的API由HTTP切换到gRPC，这导致Nacos1.0和Nacos2.0的API在路径和协议上存在显著差异。尽管Nacos2.X服务端为了兼容性，能够支持Nacos1.2.0及之后版本的客户端，但这并不意味着Nacos1.0的客户端可以直接与Nacos2.0服务端无缝对接。