XXL-JOB分布式调度平台是一款开源的分布式任务调度平台，用于实现大规模任务的调度和执行。

近日，中睿天下安全团队监测到XXL-JOB分布式调度平台默认AccessToken 认证绕过漏洞。在 XXL-JOB分布式任务调度平台中，用于调度通讯的 accessToken 并不是随机生成的，而是使用了 application.properties 配置文件中的默认值，因此如果在该平台的部署中，管理员没有修改 application.properties 配置文件中 xxl.job.accessToken 的默认值，则攻击者可能会利用该默认值来绕过身份认证从而调用 executor 执行器，可能会导致远程任意代码的执行。鉴于该漏洞影响较大，建议客户尽快做好自查及防护。

中睿天下安全服务团队已复现此漏洞，复现截图如下：

XXL-JOB分布式调度平台 <= 2.4.0

通过资产测绘系统发现，全球共151,943个XXL-JOB分布式调度平台的使用记录，其中中国有143,542个使用记录。