关键漏洞信息 CVE编号: CVE-2025-28405 漏洞类型: 不正确的访问控制 (Incorrect Access Control) 受影响产品版本: RuoYi v4.8.0 影响组件: com.ruoyi.quartz.controller.SysJobController.changeStatus 攻击类型: 远程 影响: 权限提升 (Impact Escalation of Privileges: true) 攻击向量 1. 攻击者作为RuoYi系统的普通用户,可以访问 端点。 2. 攻击者可以修改 参数并请求更改任何计划任务的状态,即使他们没有权限控制这些任务。 3. 由于应用程序未正确执行授权检查,攻击者可以启用、禁用或修改其他用户的计划任务的执行状态,导致水平权限提升漏洞。 4. 这可能允许未经授权的用户停止关键系统任务、启用未经授权的任务或破坏系统自动化,造成严重的操作问题。 漏洞PoC 在 文件的 方法中存在垂直和水平权限提升漏洞。 垂直权限提升:普通用户可以直接修改计划任务的状态。 水平权限提升:通过修改 参数,用户可以更改其他任务的状态。 请求示例 参考链接 GitHub - yangzongzhuan/RuoYi 确认情况 厂商已确认或承认该漏洞 (Has vendor confirmed or acknowledged the vulnerability?: true) 发现者: Haoran Zhao, Jiuyang Yang, Lei Zhang, Secsys Lab, Fudan University