CVE-2024-3366_ XXL-JOB 注入漏洞

CVSS评分:3.5

CVE-2024-3366_ XXL-JOB 注入漏洞

  • [1. 漏洞原理](#1. 漏洞原理)
  • [2. 漏洞危害](#2. 漏洞危害)
  • [3. 漏洞修复](#3. 漏洞修复)

1. 漏洞原理

漏洞介绍:https://github.com/xuxueli/xxl-job/issues/3391

漏洞位置:com/xxl/job/core/util/JdkSerializeTool.java -> deserialize()

在反序列化模板数据过程中发生注入:

  • deserialize 方法将未信任的数据反序列化为 Java 对象。由于没有严格校验输入内容,攻击者可以构造恶意序列化数据。
  • 序列化链内部会用到 FreeMarker/模板处理机制,导致攻击向量更广。

2. 漏洞危害

该漏洞暂无可利用的 poc,

攻击者需要有一个前置的合法 token,并且token 对应账号存在,并且可写入模板路径,才能执行漏洞攻击

相对危害较低

3. 漏洞修复

2.4.1 已经修复,升级即可

相关推荐
tntxia1 小时前
网络安全漏洞修复(一)
安全
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt6 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31114 天前
VPN 与内网穿透
安全
Mr_愚人派15 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao16 天前
【无标题】
人工智能·安全
Alsn8616 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院16 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展