XXL-JOB 作者表示正常情况下调度中心与执行器底层通讯是安全的,不存在远程命令漏洞。但如果执行器未开启访问令牌,会导致无法识别并拦截非法的调度请求。恶意请求方可以借助 GLUE 模式,推送恶意攻击代码实现远程攻击。因此,XXL-JOB 作者认为该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。 四、...
0x3:executor 未授权访问致远程命令执行漏洞 影响版本:XXL-JOB <= 2.2.0 XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。 POST /run HTTP/1.1Host:127.0.0.1:9999Content-Length:365Accept:*/*X-Requested-...
未授权访问问题指的是,在默认情况下,XXL-JOB的执行器(executor)没有配置安全认证措施,未授权的攻击者可以通过RESTful API接口执行任意命令,从而可能对系统造成严重的安全威胁。 2. XXL-JOB未授权访问的风险和后果 远程代码执行(RCE):攻击者可以通过构造恶意请求,利用XXL-JOB的GLUE模式推送恶意攻击代码,实现远程代码执...
XXL-JOB 作者表示正常情况下调度中心与执行器底层通讯是安全的,不存在远程命令漏洞。但如果执行器未开启访问令牌,会导致无法识别并拦截非法的调度请求。恶意请求方可以借助 GLUE 模式,推送恶意攻击代码实现远程攻击。因此,XXL-JOB 作者认为该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。 4. ...
由于XXL-JOB 官方版本原生自带鉴权组件,开启后可保障系统底层通讯安全。XXL-JOB 作者表示正常情况下调度中心与执行器底层通讯是安全的,不存在远程命令漏洞。但如果执行器未开启访问令牌,会导致无法识别并拦截非法的调度请求。恶意请求方可以借助 GLUE 模式,推送恶意攻击代码实现远程攻击。如下图所示: ...
近日,阿里云应急响应中心捕获到 XXL-JOB API 接口未授权访问致远程命令执行漏洞。 漏洞描述 XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。阿里云应急响应中心提醒 XXL-JOB 用户尽快采取安全措施...
如上图所示,如果在 GLUE 模式任务代码中写入攻击代码,推送到执行器执行即可造成远程攻击。 【漏洞描述】 XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令 【漏洞评级】 高危 【受影响版本】 XXL-JOB <= 2.2.0 ...
如上图所示,如果在 GLUE 模式任务代码中写入攻击代码,推送到执行器执行即可造成远程攻击。 【漏洞描述】 XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令 【漏洞评级】 高危 【受影响版本】 XXL-JOB <= 2.2.0 ...
如上图所示,如果在 GLUE 模式任务代码中写入攻击代码,推送到执行器执行即可造成远程攻击。 【漏洞描述】 XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令 【漏洞评级】 高危 【受影响版本】 XXL-JOB <= 2.2.0 ...
2、未授权API->RCE XXL-JOB 分为 admin 和 executor 两端,前者为后台管理页面,后者是任务执行的客户端。但是 2020 年 10 月,XXL-JOB <= 2.2.0 版本被各大云厂商报出存在远程执行漏洞,其 executor 端默认没有配置认证,未授权的攻击者可以通过 RESTful API 执行任意命令,如下是阿里云的漏洞预警: ...