文章总结： 文章系统梳理Nacos因默认配置与代码缺陷导致的8大高危漏洞并提供开源综合利用工具支持一键检测认证绕过SQL注入反序列化RCE给出修改默认口令升级版本网络隔离与定期扫描等可操作建议帮助运维与红队快速收敛风险 综合评分： 85 文章分类： 漏洞分析,安全工具,红队,WEB安全,内网渗透

Nacos系列漏洞：风险点与综合利用工具详解

原创

m3x1 m3x1

梦醒安全

2026年1月16日 08:02 湖北

免责声明：本公众号内容仅用于知识分享和学习，由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号梦醒安全及作者不为此承担任何责任，一旦造成后果请自行承担！

PART.01

前言

Nacos作为一款广泛应用的动态服务发现、配置管理和服务管理平台，其安全稳定性直接关系到整个微服务架构的安全。然而，Nacos存在多个因默认配置不当、代码逻辑缺陷引发的安全漏洞，这些漏洞被恶意利用后，可能导致服务器被入侵、数据泄露等严重后果。本文将详细梳理Nacos常见高危漏洞，并介绍一款针对性的综合利用工具，帮助安全从业者快速检测与验证相关风险。

PART.02

介绍

一、Nacos核心高危漏洞清单

经过安全研究与验证，以下是Nacos现阶段需重点关注的高危漏洞，涵盖默认配置漏洞、注入漏洞、反序列化漏洞等多个类型：

| 漏洞类型 | PoC验证 | Exploit利用 | 漏洞编号 | | — | — | — | — | | Nacos 默认关闭认证 | ✅ | ✅ | / | | Nacos 默认密码 (nacos/nacos) | ✅ | ✅ | AVD-2021-896025 | | Nacos 默认 server.identity | ✅ | ✅ | / | | Nacos 默认 token.secret.key | ✅ | ✅ | AVD-2023-1655789 | | Nacos 默认 User-Agent | ✅ | ✅ | AVD-2021-29441 | | Nacos Derby SQL Injection | ✅ | ✅ | AVD-2021-897468 | | Nacos JRaft Hessian 反序列化 | / | ✅ | AVD-2023-1700159 | | Nacos JRaft Services 文件操作漏洞 | / | ✅ | AVD-2024-1743586 |

上述漏洞中，默认配置类漏洞（如默认关闭认证、默认密码）是最易被利用的类型——多数运维人员在部署Nacos时未修改默认配置，直接将服务暴露在公网，攻击者可轻松登录后台接管服务；而Derby SQL注入、JRaft反序列化等漏洞，则可通过构造恶意请求，实现数据库操控、远程代码执行等高危操作。

二、漏洞检测与利用实操展示

针对上述漏洞，安全团队开发了Nacos综合漏洞利用工具，可实现漏洞一键检测、认证绕过、漏洞利用等核心功能，以下是工具核心功能的实操效果：

1. 漏洞检测

工具可批量检测目标Nacos服务是否存在上述高危漏洞，快速输出漏洞清单与风险等级，帮助安全人员定位薄弱环节：

2. 认证绕过

针对Nacos认证机制缺陷，工具可实现无权限情况下绕过认证，直接访问Nacos核心接口，验证认证漏洞的实际危害：

3. Derby SQL 注入

构造恶意SQL语句，通过工具可直接利用Derby SQL注入漏洞，读取、篡改Nacos数据库中的核心配置数据：

4. JRaft 反序列化漏洞

利用JRaft组件的Hessian反序列化缺陷，工具可触发远程代码执行，实现对服务器的完全控制：

5. 批量任务处理

针对多目标检测场景，工具支持批量添加检测任务，自动完成漏洞扫描与利用，提升安全测试效率：

三、安全防护建议

针对Nacos系列漏洞，结合实际运维场景，给出以下核心防护措施：

1. 修改默认配置

   ：立即修改Nacos默认密码（nacos/nacos），开启认证授权功能，禁用公网直接访问Nacos控制台；

2. 更新版本

   ：及时升级Nacos至官方最新版本，修复已知的反序列化、SQL注入等漏洞；

3. 配置安全加固

   ：修改默认的server.identity、token.secret.key等核心配置，避免因默认密钥导致的漏洞利用；

4. 网络隔离

   ：将Nacos服务部署在内网环境，仅允许可信IP访问，通过防火墙、安全组限制访问范围；

5. 定期检测

   ：使用专业工具定期扫描Nacos服务，及时发现并修复潜在漏洞。

PART.03

交流群

欢迎大家加入我的交流群：

如果链接过期，可以在公众号后台点击下方菜单“加群”添加我wx，备注“加群”

PART.04

往期推荐

往期好文

高危预警！Apache Tika曝XXE漏洞(CVE-2025-66516)，可窃取服务器文件

Java漏洞实战平台上线！覆盖30+安全场景

【效率翻倍】14款渗透必备插件，这款Firefox定制版帮你一键集齐

【AI靶场练习】Gandalf靶场过关wp解析

【AI靶场练习】Prompt Injection lab靶场wp解析

深挖HTTP请求走私漏洞：原理、利用与防御

自开CVE-2025-55182 漏洞检测与利用工具（GUI版）使用指南

PART.05

项目获取

本文介绍的Nacos综合漏洞利用工具仅用于安全测试与漏洞验证，禁止用于未授权的攻击行为！

开源地址：https://github.com/h0ny/NacosExploit

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：梦醒安全 m3x1 m3x1《Nacos系列漏洞：风险点与综合利用工具详解》