一、漏洞详情

Nacos是一个服务注册与发现、配置管理平台，为微服务架构和云原生应用提供了重要的基础设施支持。

近日，监测到官方修复Nacos Derby远程命令执行漏洞，由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问，恶意攻击者利用此漏洞可以未授权执行SQL语句，最终导致任意代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Nacos <= 2.4.0-BETA

三、修复建议

目前官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复。