缘起最近(2023.03.13)客户现场要求自检有无使用Nacos，原因是Nacos存在认证绕过高危漏洞，其漏洞代码NVDB-CNVDB-2023674205，本文就简单说一下这个事儿，以及如何解决这个问题。以下内容中，Nacos服务端A简称A，Nacos服务端B简称B。问题现象可以使用已知账号密码的A的登录响应体，替换未知密码的B登录响应体来绕过认证，进入B后台。影响范围：问题原因Nacos使用JWT生成密钥，同样的JWT生成key会导致A的token可以给B使用。解决办法方法一、修改生成token的keyNacos提供了修改默认JWTtoken生成key的配置项：#启用认证nacos.co