XXL-JOB分布式调度平台是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。
近日,中睿天下安全团队监测到XXL-JOB分布式调度平台默认AccessToken 认证绕过漏洞。在 XXL-JOB分布式任务调度平台中,用于调度通讯的 accessToken 并不是随机生成的,而是使用了 application.properties 配置文件中的默认值,因此如果在该平台的部署中,管理员没有修改 application.properties 配置文件中 xxl.job.accessToken 的默认值,则攻击者可能会利用该默认值来绕过身份认证从而调用 executor 执行器,可能会导致远程任意代码的执行。鉴于该漏洞影响较大,建议客户尽快做好自查及防护。
中睿天下安全服务团队已复现此漏洞,复现截图如下:
XXL-JOB分布式调度平台 <= 2.4.0
通过资产测绘系统发现,全球共151,943个XXL-JOB分布式调度平台的使用记录,其中中国有143,542个使用记录。
修改调度中心和执行器配置项 xxl.job.accessToken 的默认值。
原文始发于微信公众号(蓝鸟安全):安全通告|XXL-JOB分布式调度平台默认AccessToken认证绕过漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论