xxl-job未授权远程命令执行漏洞的产生原因主要有以下几点: 默认配置不安全:在xxl-job的默认配置中,可能存在未开启认证机制或认证机制配置不当的情况,使得攻击者可以绕过认证执行恶意命令。 权限管理不严格:如果xxl-job的系统权限管理不够严格,攻击者有可能通过利用系统漏洞或默认权限,获得执行远程命令的能力。 代码实现...
XXL-JOB 作者表示正常情况下调度中心与执行器底层通讯是安全的,不存在远程命令漏洞。但如果执行器未开启访问令牌,会导致无法识别并拦截非法的调度请求。恶意请求方可以借助 GLUE 模式,推送恶意攻击代码实现远程攻击。因此,XXL-JOB 作者认为该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。 四、...
您好 近日,京东云安全团队监测到XXL-JOB API接口存在未授权访问远程命令执行漏洞。XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。。 【漏洞描述】 XXL-JOB的Restful API接口或RPC接口没有配置认...
首先看预警信息首先提取关键词:accessToken 默认、在 application.properties 中配置、绕过认证调用 executor接下来我们去 xxl-job 的官方仓库找这个文件该文件有多个但内容一致,这里选择 xxl-job-admin 下的为例。我们能看到 application.properties 中 accessToken 确实有个配置项,其值就为 default_token。因为 prope...
XXL-JOB 作者表示正常情况下调度中心与执行器底层通讯是安全的,不存在远程命令漏洞。但如果执行器未开启访问令牌,会导致无法识别并拦截非法的调度请求。恶意请求方可以借助 GLUE 模式,推送恶意攻击代码实现远程攻击。因此,XXL-JOB 作者认为该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。
有意思的是该开源软件的作者在及时修复该漏洞的同时,还专门发文“澄清”此漏洞不是“漏洞”……参见:XXL JOB 未授权访问致远程命令执行 “漏洞” 声明。 按照软件作者许雪里所述,该漏洞的根因在于: 我们通过 Vulhub 提供的 Docker 环境来复现该漏洞:
一、XXL-job简介 在平时的业务场景中,经常有一些场景需要使用定时任务,比如: 某个时间点发送优惠券 发送短信等等 批量处理数据:批量统计上个月的账单,统计上个月销售数据等等 固定频率的场景:每隔5分钟需要执行一次 定时任务在业务场景中非常常见,而且对于现在快速消费的时代,每天都需要发送各种推送,消息都需要依赖定时...
如上图所示,如果在 GLUE 模式任务代码中写入攻击代码,推送到执行器执行即可造成远程攻击。 【漏洞描述】 XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令 【漏洞评级】 高危 【受影响版本】 XXL-JOB <= 2.2.0 ...
您好,近日,接国家互联网应急中心报告,XXL-JOB存在远程命令执行漏洞。攻击者通过此漏洞可以向XXL-JOB的执行器下发系统命令,进而可导致服务器被入侵控制,构成信息泄漏和运行安全风险。 为避免您的业务受影响,腾讯云安全中心建议您及时修复。 漏洞名称 XXL-JOB远程命令执行漏洞 ...
由于XXL-JOB 官方版本原生自带鉴权组件,开启后可保障系统底层通讯安全。XXL-JOB 作者表示正常情况下调度中心与执行器底层通讯是安全的,不存在远程命令漏洞。但如果执行器未开启访问令牌,会导致无法识别并拦截非法的调度请求。恶意请求方可以借助 GLUE 模式,推送恶意攻击代码实现远程攻击。如下图所示: ...