CVE-2021-29442

Authentication bypass

CVSS 8.6 HIGHEPSS 64.7%CWE-306

En resumen

Nacos antes de la versión 1.4.1 permite que usuarios no autenticados accedan al endpoint /derby y realicen operaciones peligrosas en la base de datos integrada, como consultas o eliminación completa de datos. Esto elude los controles de autenticación que funcionan en endpoints similares.

Detalle técnico

Bypass de autenticación en ConfigOpsController de Nacos donde el endpoint /derby carece de anotación @Secured, permitiendo acceso no autenticado a operaciones de gestión de base de datos en almacenamiento Derby integrado. El endpoint /data/remove implementa autenticación adecuada mientras /derby no, creando inconsistencia en la postura de seguridad. El impacto se limita a despliegues que utilizan almacenamiento integrado.

Resumen generado y traducido por IA a partir de la descripción oficial.

Nacos is a platform designed for dynamic service discovery and configuration and service management. In Nacos before version 1.4.1, the ConfigOpsController lets the user perform management operations like querying the database or even wiping it out. While the /data/remove endpoint is properly protected with the @Secured annotation, the /derby endpoint is not protected and can be openly accessed by unauthenticated users. These endpoints are only valid when using embedded storage (derby DB) so this issue should not affect those installations using external storage (e.g. mysql)

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Productos afectados

alibaba · nacos

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/advisories/GHSA-36hp-jr8h-556f https://github.com/alibaba/nacos/issues/4463 https://github.com/alibaba/nacos/pull/4517