Xxl Job 受影响的版本存在一个未授权的接口,通过该接口可以反序列化传入的序列化数据。当攻击者传入恶意的序列化数据时,会导致服务器端的任意代码执行,最终成功接管服务器。
漏洞名称 : Xxl Job未授权远程代码执行漏洞
威胁等级 : 高危
影响范围 : Xxl Job <= 2.1.0
漏洞类型 : 远程代码执行
利用难度 : 简单
漏洞分析
1 Xxl Job组件介绍
Xxl-Job是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。
2 漏洞描述
Xxl Job 受影响的版本存在一个未授权的接口,通过该接口可以反序列化传入的序列化数据。当攻击者传入恶意的序列化数据时,会导致服务器端的任意代码执行,最终成功接管服务器。
3 漏洞复现
搭建Xxl Job 2.0.2环境,成功复现漏洞如下: