一、漏洞简介¶
1.1 漏洞背景¶
Nacos 相关漏洞主题来源于原始文档整理;结合 NVD 记录,CVE-2023-39106 已于 2023-08-21 公开披露。原文未提供更多可直接引用的背景说明时,本文仅保留权威时间信息并避免主观推断。
1.2 漏洞概述(包含 CVE 编号、危害等级、漏洞类型、披露时间等)¶
| 项目 | 内容 |
|---|---|
| 漏洞编号 | CVE-2023-39106 |
| 危害等级 | HIGH / 8.8 |
| 漏洞类型 | nacos-spring-context 代码执行 |
| 披露时间 | 2023-08-21 |
| 影响组件 | Nacos |
补充核验信息:公开时间:2023-08-21;NVD 评分:8.8(HIGH);CWE:CWE-502。
二、影响范围¶
2.1 受影响的版本¶
- <= 1.1.1
- 上述范围来自 NVD 配置项;具体分支与发行版适配关系仍应以厂商公告为准。
2.2 不受影响的版本¶
- 1.1.1 及其后续修复分支
- 若存在长期维护分支,请以官方安全公告或发布说明中的修复版本为准。
2.3 触发条件(如特定模块、特定配置、特定运行环境等)¶
使用 nacos-spring-context 组件的应用
三、漏洞详情与原理解析¶
3.1 漏洞触发机制¶
- 原文已给出漏洞利用链路时已保留;若官方未公开更细粒度说明,本文不对触发细节作额外推演。
3.2 源码层面的根因分析(结合源码与补丁对比)¶
NVD 已收录该漏洞,但公开资料未必包含完整补丁差异或源码级修复说明。若后续获得官方提交记录,应优先结合补丁前后逻辑继续补充本节。
四、漏洞复现(可选)¶
4.1 环境搭建¶
暂无公开可验证复现信息。
4.2 PoC 演示与测试过程¶
暂无公开可验证复现信息。
五、修复建议与缓解措施¶
5.1 官方版本升级建议¶
- 优先升级到 1.1.1 或同等后续安全版本。
- 升级前请结合官方发布说明确认兼容性与回滚方案。
5.2 临时缓解方案(如修改配置文件、关闭相关模块、增加 WAF 规则等)¶
- 在完成版本升级前,建议将相关服务限制在可信网络边界内,并最小化暴露面。
- 对高风险接口、插件或调试功能实施临时下线、访问控制与日志监控。
六、参考信息 / 参考链接¶
6.1 官方安全通告¶
- https://github.com/alibaba/nacos
- https://github.com/advisories
- https://github.com/charonlight/NacosExploitGUI
- https://github.com/c0olw/NacosRce
- https://github.com/FFR66/Nacos_Rce
- https://github.com/artsploit/yaml-payload
6.2 其他技术参考资料¶
- NVD:https://nvd.nist.gov/vuln/detail/CVE-2023-39106
- CVE:https://www.cve.org/CVERecord?id=CVE-2023-39106
- https://github.com/nacos-group/nacos-spring-project/issues/314
- https://nacos.io
- https://github.com/alibaba/nacos
- https://help.aliyun.com/zh/mse/
- https://nvd.nist.gov
- https://www.cvedetails.com/product/88484/Alibaba-Nacos.html