超级会员免费看
XXL-JOB 开源调度系统在默认配置下,accessToken 使用固定值,存在身份绕过风险,允许攻击者执行任意命令获取shell。影响版本包括2.2.0等。修复建议包括修改默认配置和使用防护设备。
文章目录
0x01 漏洞介绍
XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。
XXL-JOB 默认配置下,用于调度通讯的accessToken不是随机生成的,而是使用 application.properties 配置文件中的默认值。
在实际使用中如果没有修改默认值,攻击者可利用此绕过认证调用 executor,执行任意代码,从而获取服务器权限。
0x02 影响版本
XXL-JOB <= 2.2.0
0x03 环境搭建
- Maven3+
- Jdk1.8+
- Mysql5.7+
- xxl-job-admin 2.2.0(源码安装)
安装xxl_job需要以上环境,直接apt安装即可。
xxl_job官网源码下载地址,下载2.2.0版本:
https://github.com/xuxueli/xxl-job/releases
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
