CVSS评分:3.5
CVE-2024-3366_ XXL-JOB 注入漏洞
- [1. 漏洞原理](#1. 漏洞原理)
- [2. 漏洞危害](#2. 漏洞危害)
- [3. 漏洞修复](#3. 漏洞修复)
1. 漏洞原理
漏洞介绍:https://github.com/xuxueli/xxl-job/issues/3391
漏洞位置:com/xxl/job/core/util/JdkSerializeTool.java -> deserialize()
在反序列化模板数据过程中发生注入:
deserialize方法将未信任的数据反序列化为 Java 对象。由于没有严格校验输入内容,攻击者可以构造恶意序列化数据。- 序列化链内部会用到 FreeMarker/模板处理机制,导致攻击向量更广。
2. 漏洞危害
该漏洞暂无可利用的 poc,
攻击者需要有一个前置的合法 token,并且token 对应账号存在,并且可写入模板路径,才能执行漏洞攻击
相对危害较低
3. 漏洞修复
2.4.1 已经修复,升级即可