PowerJob<=4.3.3 远程代码执行漏洞 CVE-2023-37754

2023年7月31日09:06:18评论35 views字数 355阅读1分11秒阅读模式

漏洞描述：
PowerJob 是一款开源的分布式任务调度框架。
由于 PowerJob 未对网关进行鉴权，4.3.3 及之前版本中，未经授权的攻击者可向 /instance/detail 端点发送恶意构造的 instanceId 参数远程执行任意代码。

影响范围：
tech.powerjob:powerjob-server[1.0.0, 4.3.3]

修复方案：
对 api 端点进行鉴权或移除内置 shell 执行模块

参考链接：
https://github.com/PowerJob/PowerJob/issues/675
https://novysodope.github.io/2023/07/02/100/#V4-X

原文始发于微信公众号（飓风网络安全）：【漏洞预警】PowerJob<=4.3.3 远程代码执行漏洞 CVE-2023-37754

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2023年7月31日09:06:18
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
PowerJob<=4.3.3 远程代码执行漏洞 CVE-2023-37754https://cn-sec.com/archives/1923782.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

漏洞复现 || Vite import存在任意文件读取漏洞