Nacos Namespace 未授权访问漏洞
问题
nacos
源码启动,发现即使开启了鉴权:nacos.core.auth.enabled=true
,未登录情况下,命名空间列表接口仍旧能查询到数据
鉴权逻辑
- 通过**AuthFilter **进行权限校验
- 判断方法上是否存在注解
@Secured
及是否开启鉴权
原因
/v1/console/namespaces
/v2/console/namespace
以上接口均未添加注解:@Secured
不清楚为什么
解决方式
-
对应接口添加注解,
ActionTypes
为READ
@Secured(resource = AuthConstants.CONSOLE_RESOURCE_NAME_PREFIX + "namespaces", action = ActionTypes.READ)
测试效果
OK 问题解决