XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的API接口没有配置认证措施，未授权的攻击者可构造恶意请求，触发反序列化，造成远程执行命令，直接控制服务器。XXL-JOB API 接口未授权访问致反序列化漏洞，利用无需登录，实际风险极高。建议XXL-JOB 用户尽快采取安全措施阻止漏洞攻击。

影响范围

• XXL-JOB <= 2.2.0

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="XXL-JOB"）共有866个相关服务对外开放。中国大陆使用数量最多，共有757个；美国第二，共有43个；中国香港第三，共有34个；新加坡第四，共有18个；中国台湾第五，共有4个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 160 个；北京第二，共有 50 个；广东第三，共有 18 个；江苏第四，共有 15 个；福建第五，共有 6 个。

修复方案

​ 1. 增加授权验证，配置 xxl.job.accessToken 防止未授权访问漏洞。

参考

[1] https://github.com/xuxueli/xxl-job

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。