nacos 出现严重安全漏洞，特殊 UA 可以绕过所有鉴权，有用了的小伙伴注意了……

不过这玩意不都不暴露公网的吗，有这个必要吗?

凡是“特殊”、“指定”才出现的，我基本认为是后门，因为这个是只能依靠“良心”计量的行为，🐶

这是"feature"

这后门简直离谱

真的有人把 nacos 暴露到公网出去么?是想随时随地用手机改配置啊

这是 feature+1

@worldtongfb #25 真的有。我擦，我醉了。

@lewis89 张嘴轻飘飘说一句不该暴露在外网很轻松，但不解决任何问题。

nacos 是有配置管理功能的，被暴露在外网是很危险的。我实在是没搞明白为啥要旁路鉴权。。。

乍一看以为是 macOS 打错字了，没想到是阿里的瓜

被之前的 fastjson 漏洞搞怕了，对待阿里的开源项目还是慎重吧。

过滤器里面直接把那几个不需要鉴权的接口放白名单不好吗？

@worldtongfb 看了下 github 的交流记录，有人扫出了几十个暴露的，配合另外一个远程执行漏洞，好家伙

本来就不是给用户用的而是自己内部使用的机制，在使用文档上说明不妥。用户不知道才是正确的。

亲爱的黑客朋友们，如果你看到 Nacos 的这个安全漏洞，请不要惊慌。 这个漏洞纯属误报，只用于服务端之间使用，就是不推荐用户直接使用，因此不会在文档进行描述。请诸位黑客朋友遵守使用文档不要直接使用该漏洞哈。

另外我们已经拒绝了所有修复建议并标记 wantfix 。

正在用你敢信

问题是态度还不行，没有为用户服务的心态，就想着自己的业务场景

真是荒唐可笑，有人记得 antd 的彩蛋事件吗？

这个 komachi 嘴比铁还硬，还是 Apache Software Foundation 成员呢

+1