Nacos Jraft 文件读写漏洞

# Nacos Jraft 文件读写漏洞

- CVE编号: 暂无
- 危害定级: 高危
- 漏洞标签:
- 披露日期: 2024-08-15
- 推送原因: 漏洞创建
- 信息来源: https://avd.aliyun.com/detail?id=AVD-2024-1743586

### 漏洞描述
Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。2024年8月，官方披露 Nacos Jraft 文件读写漏洞。原因是部分Jraft请求磁盘操作时未限制文件路径导致，官方已发布 2.4.1和1.4.8 版本修复该漏洞。

### 修复方案
1. 升级至最新版本
2. 利用安全组设置 Jraft 仅对可信地址开放。

### 参考链接
1. https://nacos.io/blog/announcement-nacos-security-problem-file/

Aliyun
阿里云漏洞库

Aliyun Vulnerability Database