Nacos - это платформа, предназначенная для динамического обнаружения и настройки служб и управления службами. В Nacos до версии 1.4.1 ConfigOpsController позволяет пользователю выполнять операции управления, такие как запрос к базе данных или даже ее удаление. Хотя конечная точка /data/remove правильно защищена аннотацией @Secured, конечная точка /derby не защищена и может быть открыто доступна неаутентифицированным пользователям. Эти конечные точки действительны только при использовании встроенного хранилища (derby DB), поэтому эта проблема не должна затрагивать те установки, которые используют внешнее хранилище (например, mysql).