【安全通报】XXL-JOB API 接口未授权访问致反序列化漏洞

花屋敷  1510天前

image.png

XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的API接口没有配置认证措施,未授权的攻击者可构造恶意请求,触发反序列化,造成远程执行命令,直接控制服务器。XXL-JOB API 接口未授权访问致反序列化漏洞,利用无需登录,实际风险极高。建议XXL-JOB 用户尽快采取安全措施阻止漏洞攻击。

影响范围

  • XXL-JOB <= 2.2.0

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="XXL-JOB")共有866个相关服务对外开放。中国大陆使用数量最多,共有757个;美国第二,共有43个;中国香港第三,共有34个;新加坡第四,共有18个;中国台湾第五,共有4个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20201027153337134.png

中国大陆地区浙江使用数量最多,共有 160 个;北京第二,共有 50 个;广东第三,共有 18 个;江苏第四,共有 15 个;福建第五,共有 6 个。

image-20201027153250335.png

修复方案

​ 1. 增加授权验证,配置 xxl.job.accessToken 防止未授权访问漏洞。

参考

[1] https://github.com/xuxueli/xxl-job

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论