【風(fēng)險(xiǎn)通告】XXL-JOB未授權(quán)遠(yuǎn)程命令執(zhí)行漏洞
2020-10-28 00:00:00
近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到��,XXL-JOB API 接口存在未授權(quán)訪問(wèn)遠(yuǎn)程命令執(zhí)行漏洞��。該漏洞風(fēng)險(xiǎn)等級(jí)為高危��,利用成本低�,請(qǐng)相關(guān)用戶盡快配置接口認(rèn)證,做好資產(chǎn)自查工作����,避免遭受不必要的損失。
漏洞描述
XXL-JOB是一個(gè)輕量級(jí)分布式任務(wù)調(diào)度平臺(tái)���。默認(rèn)情況下XXL-JOB的API接口或RPC接口沒(méi)有配置認(rèn)證措施,未授權(quán)的攻擊者可以構(gòu)造惡意請(qǐng)求����,遠(yuǎn)程執(zhí)行命令,直接控制服務(wù)器�����。
風(fēng)險(xiǎn)等級(jí)
高危
影響版本
XXL-JOB<=2.2.0
修復(fù)建議
配置 xxl.job.accessToken�����,對(duì)接口進(jìn)行鑒權(quán)
參考鏈接
[1] https://github.com/xuxueli/xxl-job
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/10/28