Freitag · 03.07.2026 Ausgabe 3219 RSS
Nachrichten Cybersicherheit täglich
CVE-2021-29441

8,6 HIGH CVSS Basis-Score
Beschreibung

Die Schwachstelle betrifft Nacos, eine Plattform für dynamische Diensterkennung, Konfigurations- und Dienstverwaltung. Ist die Authentifizierung aktiviert, erzwingt Nacos die Anmeldung normalerweise über einen vorgeschalteten Servlet-Filter namens AuthFilter. Genau in diesem Filter steckt eine Hintertür: Sie erlaubt es, den Filter zu umgehen und die Authentifizierungsprüfung vollständig zu überspringen. Der Umgehungsmechanismus stützt sich allein auf den Inhalt des HTTP-Kopffelds „User-Agent“ – ein Wert, den ein Angreifer beliebig selbst setzen und damit trivial fälschen kann. Wer den passenden User-Agent mitschickt, gilt gegenüber dem Server als vertrauenswürdig und wird nicht mehr zur Anmeldung aufgefordert. Auf diese Weise kann ein beliebiger, nicht angemeldeter Nutzer sämtliche administrativen Aufgaben auf dem Nacos-Server ausführen und ihn faktisch vollständig kontrollieren. Betroffen sind Installationen, die eigentlich durch die eingebaute Authentifizierung geschützt sein sollten.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln