近日,深信服安全团队发现XXL-JOB调用未授权API接口导致远程命令执行漏洞攻击。XXL-JOB默认不开启API接口认证,攻击者可以通过调用未经授权的API接口,直接发送恶意请求,执行任意系统命令,达到控制服务器的效果,危害性较大。
漏洞名称 : XXL-JOB 远程命令执行漏洞
威胁等级 : 高危
影响范围 : XXL-JOB <= 2.2.0
漏洞类型 : 远程命令执行漏洞
利用难度 : 简单
漏洞分析
1 XXL-JOB组件介绍
XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。
2 漏洞分析
默认情况下,在XXL-JOB组件2.2.0及以下版本,XXL-JOB API接口未开启身份认证,攻击者可以直接发送精心构造的恶意请求,执行任意系统命令,从而达到控制服务器的效果。
3 漏洞复现
搭建XXL-JOB 2.2.0版本环境,发送精心构造的恶意请求,可以执行任意系统命令,效果如下。