Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-29441

Vulnerabilidad en la autenticación (-Dnacos.core.auth.enabled=true) en Nacos (CVE-2021-29441)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Alta
Fecha publicación : 
27/04/2021
Última modificación: 
07/05/2021
Descripción
Nacos es una plataforma diseñada para el descubrimiento y la configuración dinámica de servicios y la gestión de servicios. En Nacos versiones anteriores a 1.4.1, cuando se configura para usar autenticación (-Dnacos.core.auth.enabled=true), Nacos usa el filtro de servlet AuthFilter para hacer cumplir la autenticación. Este filtro presenta una backdoor que permite a servidores de Nacos omitir este filtro y, por lo tanto, omitir las comprobaciones de autenticación. Este mecanismo es basado en el encabezado HTTP del agente de usuario para que pueda falsificarse fácilmente. Este problema puede permitir a cualquier usuario llevar a cabo cualquier tarea administrativa en el servidor de Nacos
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:alibaba:nacos:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos