该漏洞的主要原因是XXL-JOB executor在访问控制方面存在缺陷。在默认配置下,executor的访问权限没有进行合理的限制,导致任何能够访问executor的用户都可以查看和执行任务。这意味着,如果攻击者能够突破executor的访问防护,他们就可以随意查看和执行任务,给系统带来严重的安全威胁。三、影响范围该漏洞可能影响所有使用XXL-JOB ...
xxl-job是一个分布式任务调度平台,其中executor是xxl-job的任务执行器,负责实际执行任务。xxl-job executor未授权访问漏洞指的是,如果xxl-job executor的配置不当,攻击者可能无需身份验证即可访问和控制executor,进而执行恶意任务。 2. 该漏洞可能带来的安全风险 xxl-job executor未授权访问漏洞可能导致以下安全风险: 远...
executor默认没有配置认证,未授权的攻击者可以通过RESTful API接口执行任意命令。 此漏洞为XXL-JOB配置不当情况下反序列化RCE。 执行器配置文件中说到端口号在默认情况下是9999 复现 本地搭建靶场,使用靶场为vulhub,使用docker运行环境 启动环境后,http://ip:8080为管理端,http://ip:9999为客户端 访问http://ip:...
未授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。 XXL-JOB整个平台共有两个项目,分别是调度中心与执行器。 调度中心作用: 统一管理任务调度平台上调度任务,负责触发调度执行,并且提供任务管理平台; 执行器作用:负责接收“调度中心”的调度并执行; 可直接部署执行器,也可以将执行器集成到现有业务项目中...
XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。 参考链接: https:...
4. 根据 monitorThread 的业务代码来看, 扫描的是正在运行的 已经超过了十分钟 并且找不到关联的 executor 的任务执行记录, 而我们的这个 job 的 executor 还存在, 怎么就被标记为 "任务结果丢失,标记失败" 了? 然后 后面当我查看到了 当前 job 对应的 jobThread 中的 triggerQueue 中还有 76 个任务的时候,...
XXL-JOB是一个轻量级分布式任务调度平台,其核心设计理念是简单、轻量、可靠。在XXL-JOB中,XxlJobExecutor是一个至关重要的组件,它负责任务的执行和调度。本文将深入分析XxlJobExecutor的源码,以揭示其执行机制和工作原理。 XxlJobExecutor概述 XxlJobExecutor是XXL-JOB任务执行的核心类,它负责接收和执行任务调度器下发...
我发现默认的xxl-job-executor-sample无法删除 张仁辉 创建了任务 1个月前 登录 后才可以发表评论 状态 待办的 待办的 进行中 已完成 已关闭 负责人 未设置 标签 未设置 标签管理 里程碑 未关联里程碑 未关联里程碑 Pull Requests 未关联 未关联 关联的 Pull Requests 被合并后可能会关闭此...
docker run -it --name xxl-job-admin --rm --net mynet xxl-job-admin:1.0.0 3 运行xxl-job-executor-samples docker run -it --name xxl-job-executor-sample-springboot --rm --net mynet --env JAR_PARAM="--xxl.job.admin.addresses=http://xxl-job-admin/xxl-job-admin --xxl.job.exec...
xxl.job.admin.addresses=http://127.0.0.1:8080/xxl-job-admin ### xxl-job, access token xxl.job.accessToken=default_token ### xxl-job executor appname xxl.job.executor.appname=xxl-job-executor-sample ### xxl-job executor registry-address: default use address to registry , otherwise use ...