Nacos嵌入式数据库Derby存在SQL注入漏洞，影响版本≤1.4.1。漏洞位于/nacos/v1/cs/ops/derby接口，因缺少鉴权且仅校验SQL语句是否以"select"开头，导致攻击者可查询约20个默认表数据。虽然受限于代码仅允许SELECT操作及1000行结果限制，但仍可泄露敏感信息。漏洞通过代码审计发现，提示开发者需加强接口鉴权和输入过滤。

摘要：Nacos<=2.0.0-ALPHA.1版本存在未授权漏洞，攻击者通过修改User-Agent为"Nacos-Server"可绕过认证。漏洞允许未授权查看用户列表（含BCrypt加密密码）和添加任意用户，成因在于AuthFilter.java中未严格校验User-Agent，匹配"Nacos-Server"即放行请求。该问题实为开发者预留的后门逻