正文

XXL-JOB API 接口未授权访问致反序列化漏洞

admin
admin V管理员 /0 评论 /13 阅读
0410
此篇文章发布距今已超过1119天,您需要注意文章的内容或图片是否可用!

CVE编号

N/A

利用情况

漏洞武器化

补丁情况

官方补丁

披露时间

2020-10-01
漏洞描述
XXL-JOB是一个轻量级分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。在旧版本中XXL-JOB API接口存在Hessian反序列化代码执行漏洞。
解决建议
升级XXL-JOB至最新版本。
参考链接
https://help.aliyun.com/noticelist/articleid/1060736995.html
阿里云评分 9.8
  • 攻击路径 远程
  • 攻击复杂度 容易
  • 权限要求 无需权限
  • 影响范围 全局影响
  • EXP成熟度 漏洞武器化
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 传输被破坏
  • 服务器危害 服务器失陷
  • 全网数量 N/A
CWE-ID 漏洞类型 CWE-502 可信数据的反序列化