近日,阿里云應急響應中心捕獲到 XXL-JOB API 接口未授權訪問致反序列化漏洞。
漏洞描述
XXL-JOB是一個輕量級分布式任務調度平臺。默認情況下XXL-JOB的API接口沒有配置認證措施,未授權的攻擊者可構造惡意請求,觸發反序列化,造成遠程執行命令,直接控制服務器。漏洞利用無需登錄,實際風險極高,阿里云應急響應中心提醒 XXL-JOB 用戶盡快采取安全措施阻止漏洞攻擊。
影響版本
XXL-JOB <= 2.2.0
安全建議
增加授權驗證,配置 xxl.job.accessToken 防止未授權訪問漏洞。
相關鏈接
github.com/xuxueli/xxl-job
網絡安全api本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
