CVE-2021-29442 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Nacos 的 `ConfigOpsController` 存在**访问控制错误**。 💥 **后果**：未授权用户可直接访问管理接口，执行**查询数据库**甚至**清除数据库**的操作，导致数据泄露或业务中断。

🔍 **CWE**：CWE-306（缺少身份验证）。 🐛 **缺陷点**：`/derby` 接口**未受保护**，缺少 `@Secured` 注解，而 `/data/remove` 等接口是受保护的。

📦 **组件**：Alibaba Nacos。 📅 **版本**：影响 **1.4.1 之前**的版本。 ⚠️ **注意**：仅影响使用**嵌入式存储 (Derby DB)** 的部署，使用外部存储（如 MySQL）不受此特定漏洞影响。

🕵️ **黑客权限**：无需认证即可访问。 💾 **数据操作**：可执行任意 SQL 语句，查询敏感数据（如用户表），甚至**清空数据库**。

📉 **门槛**：**极低**。 🔓 **认证**：**无需认证** (PR:N)。 ⚙️ **配置**：默认配置下 Derby 接口开放，攻击者可直接通过 HTTP 请求利用。

🧨 **Exp/PoC**：**有现成利用脚本**。 🔗 参考：GitHub 上的 `cve-2021-29442-Nacos-Derby-rce-exp` 等工具，支持通过 User-Agent 绕过或构造恶意 SQL 进行利用。

🔎 **自查方法**： 1. **FOFA**：搜索 `app="Nacos"`。 2. **ZoomEye**：搜索 `app:"Alibaba Nacos"`。 3. **直接访问**：尝试访问 `/nacos/v1/cs/ops/derby` 接口，看是否返回数据库内容或报错。

🛡️ **官方修复**：**已修复**。 📝 **措施**：官方在后续版本（≥1.4.1）中修复了该访问控制缺失问题，建议升级版本。

🚧 **临时规避**： 1. **升级**：升级到官方安全版本。 2. **网络隔离**：限制 Nacos 管理端口的公网访问。 3. **配置修改**：若无法升级，确保 Derby 接口不被外部直接访问（如通过防火墙规则）。

🔥 **优先级**：**高**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N。 💡 **建议**：由于无需认证且后果严重（数据丢失/泄露），建议**立即**排查并升级。