当前位置: 首页 > news >正文

XXL-JOB 默认 accessToken 身份绕过导致 RCE

news 2025/8/12 0:41:27

文章目录

      • 0x01 漏洞介绍
      • 0x02 影响版本
      • 0x03 环境搭建
      • 0x04 漏洞复现
        • 第一步 访问页面返回报错信息
        • 第二步 执行POC,进行反弹shell
        • 第三步 获取shell
      • 0x05 修复建议
      • 摘抄
      • 免责声明

0x01 漏洞介绍

XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度执行

XXL-JOB 默认配置下,用于调度通讯的accessToken不是随机生成的,而是使用 application.properties 配置文件中的默认值。
在实际使用中如果没有修改默认值,攻击者可利用此绕过认证调用 executor,执行任意代码,从而获取服务器权限

0x02 影响版本

http://www.lryc.cn/news/219136.html

相关文章:

  • 7 库函数之复位和时钟设置(RCC)所有函数的介绍及使用
  • 第十七节——指令
  • 优雅的 Dockerfile 是怎样炼成的?
  • 2023-2024 中国科学引文数据库来源期刊列表(CSCD)
  • 【3D图像分割】基于Pytorch的VNet 3D图像分割5(改写数据流篇)
  • WebSocket Day02 : 握手连接
  • c#的反编译工具ISPY和net reflector 使用比较
  • 基于LDA主题+协同过滤+矩阵分解算法的智能电影推荐系统——机器学习算法应用(含python、JavaScript工程源码)+MovieLens数据集(四)
  • 方阵行列式与转置矩阵
  • 【Java 进阶篇】Java Cookie共享:让数据穿越不同应用的时空隧道
  • 甘特图组件DHTMLX Gantt用例 - 如何拆分任务和里程碑项目路线图
  • 克里金插值matlab代码
  • 【LeetCode】23. 合并 K 个升序链表
  • 2023年【熔化焊接与热切割】免费试题及熔化焊接与热切割考试总结
  • 为什么要学中文编程?它能有哪些益处?免费版编程工具怎么下载?系统化的编程教程课程怎么学习
  • 数据分析实战 - 2 订单销售数据分析(pandas 进阶)
  • 测试服务器端口是否开通,计算退休时间
  • Prometheus接入AlterManager配置企业微信告警(基于K8S环境部署)
  • 11.1 Linux 设备树
  • 万宾科技管网水位监测助力智慧城市的排水系统
  • Glide transform CircleCrop()圆图,Kotlin
  • 从NetSuite Payment Link杂谈财务自动化、数字化转型
  • 1.UML面向对象类图和关系
  • JAVA小说小程序系统是怎样开发的
  • 【深度学习】pytorch——Tensor(张量)详解
  • 装修服务预约小程序的内容如何
  • easypoi 导出Excel 使用总结
  • MySQL性能优化的最佳20条经验
  • 【Liunx基础】之指令(一)
  • jQuery案例专题