【中危】PowerJob 未授权访问漏洞 (CVE-2023-36106)

最新推荐文章于 2024-04-26 09:26:33 发布
最新推荐文章于 2024-04-26 09:26:33 发布
阅读量325 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: powerjob 软件供应链 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/132403324
版权

墨知 - 软件供应链安全技术社区

漏洞描述

PowerJob 是一款开源的分布式任务调度框架。

在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权,未授权的攻击者可以构造 appId 参数访问 /container/list接口获取应用容器的标识、运行状态、日志等敏感信息。

漏洞名称 PowerJob 未授权访问漏洞
漏洞类型 未授权敏感信息泄露
发现时间 2023/8/18
漏洞影响广度 一般
MPS编号 MPS-st3c-aw5x
CVE编号 CVE-2023-36106
CNVD编号 -

影响范围

tech.powerjob:powerjob-server@(-∞, 4.3.5]

修复方案

避免系统可外网访问

参考链接

https://zhi.oscs1024.com/4854.html

https

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
【严重】PowerJob<=4.3.3 远程代码执行漏洞
murphysec的博客
08-01 348
PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 对网关进行鉴权,4.3.3 及之前版本中,授权的攻击者可向 /instance/detail 端点发送恶意构造的 instanceId 参数远程执行任意代码。PowerJob
授权漏洞PowerJob授权访问漏洞(CVE-2023-29922)
做自己喜欢的事,并将其发挥到极致!
06-11 2054
PowerJob是一个开源分布式计算和作业调度框架,它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V4.3.1版本存在安全漏洞,该漏洞源于存在不正确访问控制。受影响版本中由于 JobController#listJobs 方法对用户身份进行校验,攻击者可通过向 /job/list 接口发送POST请求,指定 appId 参数即可列出对应的正在运行的任务列表以及它们的状态信息。
OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞
最新发布
zz12345600354的博客
04-26 791
OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL验证绕过漏洞(CVE-2023-40037)、PowerJob 授权访问漏洞(CVE-2023-36106)、Apache Airflow SparkProvider 任意文件读取漏洞(CVE-2023-40272)。针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive。
CVE-2023-37754 PowerJob 授权访问导致远程代码执行漏洞
afeng12345678的博客
07-31 1316
PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 对网关进行鉴权,4.3.3 及之前版本中,授权的攻击者可构造恶意的数据包远程执行任意代码。
PowerJob 授权访问导致命令执行漏洞
afeng12345678的博客
07-31 833
PowerJob的官方推荐组件powerjob-official-processors中存在命令执行漏洞,攻击者可授权加载恶意shell脚本执行系统命令。
PowerJob 授权访问漏洞
afeng12345678的博客
07-31 399
PowerJob存在授权访问漏洞,该漏洞源于powerjob-server\powerjob-server-starter\src\main\java\tech\powerjob\server\web\controller路径下的全部Controller层的Restful接口均添加访问控制,导致攻击者无需身份认证即可获取系统敏感信息。
PowerJob 继续踩坑,部分定时任务没有执行
天码星空
11-28 1463
既然已经配置了cron表达式, 而且状态已经开启, 那么下次触发时间为空的话,日志中应该给出明确的错误提示.否则,很难调查问题.
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
PowerJob 从 0 到 1.9k star 的经历
HelloGitHub 的博客
09-23 1188
本文适合有 Java 基础知识的人群作者:HelloGitHub-Salieri本文就是《讲解 PowerJob》系列的最后一篇文章了,纯粹是写点经历写点心路历程啥的,和大家道个别。惨淡...
【开源项目】任务调度框架PowerJob介绍及源码解析
秋装什么的博客
12-30 4335
【开源项目】任务调度框架PowerJob介绍及源码解析
PowerJob 的故事开篇:“玩够了,才有激情做开源啊!”
HelloGitHub 的博客
07-08 1289
本文适合有 Java 基础知识的人群作者:HelloGitHub-SalieriHelloGitHub 推出的《讲解开源项目》[1]系列。经过几番的努力和沟通,终于邀请到分布式任务调度与...
powerjob入门详细教程
weixin_42602368的博客
02-09 1395
很高兴为您解答!Powerjob是一个强大的自动化任务管理工具,可以帮助您节省时间和精力。下面是Powerjob的入门详细教程: 创建Powerjob账号:首先,您需要登录Powerjob官网,注册一个账号,并完成账号激活。 安装Powerjob客户端:接下来,您需要安装Powerjob客户端,客户端可以在Powerjob官网上下载,也可以在应用商店中搜索“Powerjob”下载安装。 登录...
解决基于Docker部署PowerJob跨服务器的网络连接问题
早晨阳光一般暖的博客
03-30 2994
使用 docker swarm 保证跨服务器后容器间相互访问
mysql安全漏洞CVE-2023-0215
07-29
很抱歉,但我无法回答关于"mysql安全漏洞CVE-2023-0215"的问题。因为在您提供的引用内容中,并没有提到与该漏洞相关的信息。如果您有其他关于该漏洞的引用内容或更多的背景信息,我将很乐意为您提供帮助。 #### 引用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值