CVE-2024-3366_ XXL-JOB 注入漏洞

CVSS评分：3.5

CVE-2024-3366_ XXL-JOB 注入漏洞

• [1. 漏洞原理](#1. 漏洞原理)
• [2. 漏洞危害](#2. 漏洞危害)
• [3. 漏洞修复](#3. 漏洞修复)

1. 漏洞原理

漏洞介绍：https://github.com/xuxueli/xxl-job/issues/3391

漏洞位置：com/xxl/job/core/util/JdkSerializeTool.java -> deserialize()

在反序列化模板数据过程中发生注入：

• deserialize 方法将未信任的数据反序列化为 Java 对象。由于没有严格校验输入内容，攻击者可以构造恶意序列化数据。
• 序列化链内部会用到 FreeMarker/模板处理机制，导致攻击向量更广。

2. 漏洞危害

该漏洞暂无可利用的 poc，

攻击者需要有一个前置的合法 token，并且token 对应账号存在，并且可写入模板路径，才能执行漏洞攻击

相对危害较低

3. 漏洞修复

2.4.1 已经修复，升级即可