Nacos安全公告：关于Spring框架CVE-2024-38809漏洞的风险提示

Nacos安全公告：关于Spring框架CVE-2024-38809漏洞的风险提示

发布日期：2024-XX-XX
漏洞编号：CVE-2024-38809
风险等级：严重
影响范围：使用Spring Boot 3.2.0-3.2.8或3.1.0-3.1.13版本的Nacos服务端

漏洞描述

Spring框架在处理特定类型请求参数时存在安全缺陷，攻击者可通过精心构造的数据包实现远程代码执行。Nacos作为基于Spring Boot开发的服务治理平台，在特定配置下可能受到该漏洞影响。

修复建议

1. 升级Spring Boot版本至3.2.9或更高安全版本
2. 启用Nacos认证鉴权功能
3. 添加Spring MVC参数绑定限制配置

参考链接

• Nacos安全配置文档：plugin/auth/
• 漏洞修复指南：docs/security/CVE-2024-38809.md