徐霧区によると、Nacosは遠隔コード実行脆弱性攻撃のケースが出ている。 NacosはAlibabaのオープンソースで、クラウドのネイティブアプリケーションをより簡単に構築できる動的なサービス検出、構成管理、およびサービス管理プラットフォームであり、ユーザーが動的なサービス検出、サービス構成、サービスメタデータ、およびトラフィック管理を迅速に実現できるよう支援します。 Nacosは、いくつかのJraftベースの要求を処理する際、Hessianを用いて逆直列化を行っているが、制限を設けていないため、アプリケーションにRCE(remotecodeexecution)の脆弱性がある。 その中で、1.4.1 <= Nacos < 1.4.6、clusterクラスタモードでの運行は影響を受ける; 1.4.0、2.0.0 <= Nacos < 2.2.3、いずれのモードの起動も影響を受ける。 暗号通貨業界には多くのプラットフォームがこのシナリオを採用しています。リスクに注意し、Nacosを公式の最新バージョンにアップグレードしてください。