XXL-JOB 漏洞列表

XXL-JOB default admin credentials were discovered. SHODAN: http.favicon.hash:1691956220 FOFA: icon_hash="1691956220"

XXL-JOB 默认 accessToken 身份绕过，可导致远程代码执行 (RCE) 攻击。

Multiple cross-site scripting (XSS) vulnerabilities in xxl-job v2.2.0 allow remote attackers to inject arbitrary web script or HTML via (1) AppName and (2)AddressList parameter in JobGroupController.java file.

XXL-JOB是一款分布式任务调度平台，其核心设计目标是快速开发、简单学习、轻量级和易扩展。XXL-JOB executor的/run接口存在未授权访问漏洞，攻击者无需身份验证即可通过该接口发送恶意请求，可能导致远程命令执行或直接控制服务器，实际风险极高。

命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。

XXL-JOB是一款开源的分布式任务调度平台，用于实现大规模任务的调度和执行。XXL-JOB在2.0.2及以下版本中的接口存在未授权访问漏洞，该接口会进行Hessian2反序列化操作，导致存在Hessian2反序列化漏洞从而RCE。

XXL-JOB 是一款开源的分布式任务调度平台，用于实现大规模任务的调度和执行。XXL-JOB存在未授权访问漏洞，攻击者可以通过该漏洞获取大量敏感信息。

XXL-JOB 是一款开源的分布式任务调度平台，用于实现大规模任务的调度和执行。XXL-JOB 默认配置下，用于调度通讯的 accessToken不是随机生成的，而是使用 application.properties 配置文件中的默认值。在实际使用中如果没有修改默认值，攻击者可利用此绕过认证调用executor，执行任意代码，从而获取服务器权限。经分析和研判，该漏洞利用难度低，可导致远程代码执行。

XXL-JOB 是一款开源的分布式任务调度平台，用于实现大规模任务的调度和执行。XXL-JOB 存在默认 accessToken ，攻击者可使用 accessToken 绕过认证权限，调用 executor，执行任意代码，从而获取服务器权限。

XXL-JOB 是一个分布式任务调度平台，用于定时执行和管理任务。在 XXL-JOB 中，该框架用于调度通讯的 accessToken 并不是随机生成，并且其默认值是存储在 application.properties 配置文件中，导致攻击者可以利用默认的 accessToken 访问调度中心。

XXL-JOB是一个分布式任务调度平台。 其核心设计目标是快速开发、简单学习、轻量级、易扩展。 现在已经开源代码，接入了很多公司的线上产品线，比如电商业务。 O2O业务、大数据运营等。 XXL-JOB 默认情况下，XXL-JOB的API接口没有认证措施。 未经授权的攻击者可以构造恶意请求，导致远程执行命令并直接控制服务器。 漏洞利用无需登录，实际风险极高。

XXL-JOB 是一个分布式任务调度平台，用于定时执行和管理任务。 XXL-JOB v2.3.1之前版本 /admin/controller/JobLogController.java 存在服务器端请求伪造。

【漏洞对象】XXL-JOB任务调度系统 【漏洞描述】XXL-JOB是一个轻量级分布式任务调度平台，其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线，开箱即用。默认用户名密码，黑客可以控制整个任务调度平台，相关项目的任务调度产生巨大的影响。