1
漏洞描述
XXL-JOB默认情况下XXL-JOB的API接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。漏洞利用无需登录,实际风险极高。
XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展,现已开放源代码并接入多家公司线上产品线,接入场景如电商业务,O2O业务和大数据作业等。
2漏洞等级
高危
3
受影响的版本
XXL-JOB <= 2.2.0
4
修复建议
增加授权验证,配置 xxl.job.accessToken,可参考XXL开发者社区链接,及时升级到安全版本。
5
腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,XXL-JOB任务调度平台主要分布在中美两国(占比合计超过89%),浙江、北京、上海、广东四省市用户占比超过80%。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 [email protected] 了解产品详情。
6
漏洞验证复现
腾讯安全专家对该漏洞进行验证,向xx-job executor服务发送精心构造的报文,实现任意命令执行:
参考链接
https://www.xuxueli.com/xxl-job/#5.10%20%E8%AE%BF%E9%97%AE%E4%BB%A4%E7%89%8C%EF%BC%88AccessToken%EF%BC%89
插播一条招聘广告(长期)
腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到[email protected],诚邀加盟!
本文始发于微信公众号(腾讯安全威胁情报中心):XXL-JOB API 接口未授权致远程命令执行漏洞风险通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论