XXL-JOB API 接口未授权致远程命令执行漏洞风险通告

  • A+
所属分类:安全漏洞

1

漏洞描述


XXL-JOB默认情况下XXL-JOBAPI接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。漏洞利用无需登录,实际风险极高。

 

XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展,现已开放源代码并接入多家公司线上产品线,接入场景如电商业务,O2O业务和大数据作业等。


2漏洞等级


高危


3

受影响的版本


XXL-JOB <= 2.2.0


4

修复建议


增加授权验证,配置 xxl.job.accessToken,可参考XXL开发者社区链接,及时升级到安全版本。


5

腾讯安全网络空间测绘


腾讯安全网络空间测绘结果显示,XXL-JOB任务调度平台主要分布在中美两国(占比合计超过89%),浙江、北京、上海、广东四省市用户占比超过80%

XXL-JOB API 接口未授权致远程命令执行漏洞风险通告

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 [email protected] 了解产品详情。


6

漏洞验证复现


腾讯安全专家对该漏洞进行验证,向xx-job executor服务发送精心构造的报文,实现任意命令执行:

XXL-JOB API 接口未授权致远程命令执行漏洞风险通告


参考链接

https://www.xuxueli.com/xxl-job/#5.10%20%E8%AE%BF%E9%97%AE%E4%BB%A4%E7%89%8C%EF%BC%88AccessToken%EF%BC%89



XXL-JOB API 接口未授权致远程命令执行漏洞风险通告

插播一条招聘广告(长期)

XXL-JOB API 接口未授权致远程命令执行漏洞风险通告

腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到[email protected],诚邀加盟!


本文始发于微信公众号(腾讯安全威胁情报中心):XXL-JOB API 接口未授权致远程命令执行漏洞风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: