漏洞描述
PowerJob 是一款开源的分布式任务调度框架。
在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权,未授权的攻击者可以构造 appId 参数访问 /container/list接口获取应用容器的标识、运行状态、日志等敏感信息。
漏洞名称 | PowerJob 未授权访问漏洞 |
---|---|
漏洞类型 | 未授权敏感信息泄露 |
发现时间 | 2023/8/18 |
漏洞影响广度 | 一般 |
MPS编号 | MPS-st3c-aw5x |
CVE编号 | CVE-2023-36106 |
CNVD编号 | - |
影响范围
tech.powerjob:powerjob-server@(-∞, 4.3.5]
修复方案
避免系统可外网访问