记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

XXL-JOB API 接口未授权访问致反序列化漏洞

2020-10-30 11:20

XXL-JOB API 接口未授权访问致反序列化漏洞-极度安全

漏洞简介

默认情况下XXL-JOB的API接口没有配置认证措施,未授权的攻击者可构造恶意请求,触发反序列化,造成远程执行命令,直接控制服务器。XXL-JOB API 接口未授权访问致反序列化漏洞,利用无需登录,实际风险极高。建议XXL-JOB 用户尽快采取安全措施阻止漏洞攻击。

影响范围

XXL-JOB <= 2.2.0

根据目前最新数据(一年内数据),显示全球范围内(app="XXL-JOB")共有866个相关服务对外开放。中国大陆使用数量最多,共有757个;美国第二,共有43个;中国香港第三,共有34个;新加坡第四,共有18个;中国台湾第五,共有4个。

中国大陆地区浙江使用数量最多,共有 160 个;北京第二,共有 50 个;广东第三,共有 18 个;江苏第四,共有 15 个;福建第五,共有 6 个。

修复方案

增加授权验证,配置 xxl.job.accessToken 防止未授权访问漏洞。

参考

https://github.com/xuxueli/xxl-job


知识来源: https://www.secvery.com/3377.html

阅读:56650 | 评论:0 | 标签:漏洞 序列化

想收藏或者和大家分享这篇好文章→复制链接地址

“XXL-JOB API 接口未授权访问致反序列化漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云