CVE-2024-3366_ XXL-JOB 注入漏洞

世界尽头与你2026-01-24 10:37

CVSS评分:3.5

CVE-2024-3366_ XXL-JOB 注入漏洞

  • [1. 漏洞原理](#1. 漏洞原理)
  • [2. 漏洞危害](#2. 漏洞危害)
  • [3. 漏洞修复](#3. 漏洞修复)

1. 漏洞原理

漏洞介绍:https://github.com/xuxueli/xxl-job/issues/3391

漏洞位置:com/xxl/job/core/util/JdkSerializeTool.java -> deserialize()

在反序列化模板数据过程中发生注入:

  • deserialize 方法将未信任的数据反序列化为 Java 对象。由于没有严格校验输入内容,攻击者可以构造恶意序列化数据。
  • 序列化链内部会用到 FreeMarker/模板处理机制,导致攻击向量更广。

2. 漏洞危害

该漏洞暂无可利用的 poc,

攻击者需要有一个前置的合法 token,并且token 对应账号存在,并且可写入模板路径,才能执行漏洞攻击

相对危害较低

3. 漏洞修复

2.4.1 已经修复,升级即可

相关推荐
周某人姓周2 小时前
sql报错注入常见7个函数
sql·安全·web安全·网络安全
是逍遥子没错2 小时前
OA渗透测试的思维盲区:从漏洞猎人到系统拆解师
web安全·网络安全·黑客·渗透测试·系统安全·oa系统·src挖掘
资深web全栈开发2 小时前
分布式锁的陷阱:Redlock 真的安全吗?
分布式·安全·wpf
2401_865854882 小时前
如何搭建一个安全的WordPress网站?
安全
大方子3 小时前
【PolarCTF】浮生日记
网络安全·polarctf
世界尽头与你3 小时前
Flask开启Debug模式
后端·网络安全·渗透测试·flask
Whoami!4 小时前
⓫⁄₄ ⟦ OSCP ⬖ 研记 ⟧ Windows权限提升 ➱ 搜索Windows的敏感信息
windows·网络安全·信息安全·信息收集
EverydayJoy^v^4 小时前
RH134学习进程——六.管理SELinux安全
linux·学习·安全·selinux
vx-bot5556664 小时前
企业微信协议接口的安全合规性设计与审计实践
安全·企业微信
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03Claude Code Skills 实用使用手册04UV安装并设置国内源05BongoCat - 跨平台键盘猫动画工具06在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)07安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)08AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南09Linux下V2Ray安装配置指南10Open Code教程(四)| 高级配置与集成