【風險通告】XXL-JOB未授權遠程命令執(zhí)行漏洞
2020-10-28 00:00:00
近日����,金山云安全應急響應中心監(jiān)測到,XXL-JOB API 接口存在未授權訪問遠程命令執(zhí)行漏洞�。該漏洞風險等級為高危,利用成本低���,請相關用戶盡快配置接口認證���,做好資產(chǎn)自查工作�����,避免遭受不必要的損失�����。
漏洞描述
XXL-JOB是一個輕量級分布式任務調(diào)度平臺�����。默認情況下XXL-JOB的API接口或RPC接口沒有配置認證措施�����,未授權的攻擊者可以構造惡意請求���,遠程執(zhí)行命令,直接控制服務器����。
風險等級
高危
影響版本
XXL-JOB<=2.2.0
修復建議
配置 xxl.job.accessToken��,對接口進行鑒權
參考鏈接
[1] https://github.com/xuxueli/xxl-job
北京金山云網(wǎng)絡技術有限公司
2020/10/28