XXL-JOB 默认 accessToken 认证绕过漏洞
漏洞名称
: XXL-JOB 默认 accessToken 认证绕过漏洞
漏洞描述
:2023 年 11 月 1 日,深瞳漏洞实验室监测到一则 XXL-JOB 组件存在
认证绕过漏洞的信息,该漏洞是由于 XXL-JOB 在默认配置下,用于调度通讯的
accessToken 不是随机生成的,而是使用 application.properties 配置文件中
的默认值,如果用户没有修改该默认值,
攻击者可利用该默认值在未授权的情况
下绕过认证,最终可导致远程代码执行
。
漏洞编号:暂无,漏洞威胁等级:
高危
。
组件介绍:
XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度
和执行。
影响范围:
目前受影响的 XXL-JOB 版本:
XXL-JOB <= 2.4.0
利用条件:
1、用户认证:不需要用户认证
2、前置条件:socks5 代理且 url 可控
3、触发方式:远程
<综合评定利用难度>:困难。
<综合评定威胁等级>:高危,能造成代码执行。
6
官方解决方案
:
当前官方已发布修复建议,建议受影响的用户及时修改调度中心和执行器配
置项 xxl.job.accessToken 的默认值,官方文档链接如下。
链接如下:
https://www.xuxueli.com/xxl-job/#5.10%20%E8%AE%BF%E9%97%A
E%E4%BB%A4%E7%89%8C%EF%BC%88AccessToken%EF%BC%89
