项目介绍
强大的动态线程池框架,附带监控报警功能。支持 JDK、Tomcat、Jetty、Undertow 线程池;Dubbo、Dubbox、RabbitMQ、RocketMQ、Hystrix 消费线程池(更多框架线程池还在适配中)。内置两种使用模式:轻量级依赖配置中心以及无中间件依赖版本。
![](https://i-blog.csdnimg.cn/blog_migrate/5511351b47048d0153cfa5dbfe26a98c.png)
项目地址
https://github.com/opengoofy/hippo4j
漏洞概述
hippo4j的租户管理模块模块的ThreadPoolController.中存在未授权访问漏洞,该漏洞源于删除线程池的
deletePool方法未对执行当前操作的用户进行身份验证,导致任意用户可通过访问DELETE /hippo4j/v1/cs/thread/pool/delete接口删除项目内的线程池
缺陷代码如下:
![](https://i-blog.csdnimg.cn/blog_migrate/bbb973148fe51385d9bc4ee77ebea713.png)
![](https://i-blog.csdnimg.cn/blog_migrate/c7c35becc8650dd5cc8cc5ba0c36a90a.png)
可见deletePool方法没有判断当前用户是否具有该权限员进行校验