XXL-JOB分布式调度平台是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。
近日,中睿天下安全团队监测到XXL-JOB分布式调度平台默认AccessToken 认证绕过漏洞。在 XXL-JOB分布式任务调度平台中,用于调度通讯的 accessToken 并不是随机生成的,而是使用了 application.properties 配置文件中的默认值,因此如果在该平台的部署中,管理员没有修改 application.properties 配置文件中 xxl.job.accessToken 的默认值,则攻击者可能会利用该默认值来绕过身份认证从而调用 executor 执行器,可能会导致远程任意代码的执行。鉴于该漏洞影响较大,建议客户尽快做好自查及防护。
中睿天下安全服务团队已复现此漏洞,复现截图如下:
XXL-JOB分布式调度平台 <= 2.4.0
通过资产测绘系统发现,全球共151,943个XXL-JOB分布式调度平台的使用记录,其中中国有143,542个使用记录。
修改调度中心和执行器配置项 xxl.job.accessToken 的默认值。
原文始发于微信公众号(蓝鸟安全):安全通告|XXL-JOB分布式调度平台默认AccessToken认证绕过漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论