Alibaba Nacos存在默认token.secret.key,导致远程攻击者可以绕过密钥认证接管Nacos
首发于t00lscom,仅限安全自检,非法使用所造成的一切后果由使用者承担 漏洞原理 好多大佬都分享过了,这里就简单说下: Nacos漏洞版本/conf 默认配置文件 applicationproperties 中,nacoscoreauthdefaulttokensecretkey 使用了硬编码,使用该key可构造jwt进行token认证。 认证成功后获得accessToken ,