漏洞总结:XXL-JOB 默认 Access Token 导致未授权访问 漏洞概述 XXL-JOB 在默认配置下使用固定的访问令牌 ,且未强制要求用户修改。这导致攻击者可以通过伪造请求头 来访问未受保护的 OpenAPI 管理端点(如 ),从而执行特权操作。 影响范围 受影响版本:XXL-JOB <= 3.3.2 受影响端点: 潜在危害: 伪造执行器注册,导致调度器信任恶意节点。 伪造任务回调,篡改任务执行结果(如将失败改为成功)。 移除合法执行器注册。 可能导致下游子任务被触发,或泄露敏感数据(Job ID、参数、凭证等)。 修复方案 1. 移除默认值:移除 的默认值,强制要求显式配置强随机令牌。 2. 拒绝空值:如果 为空,应拒绝启动。 3. 安全传输:不要通过静态共享令牌暴露特权管理操作。 4. 身份验证:增加强节点身份验证(注册、移除、回调)。 5. 访问控制:限制 OpenAPI 的访问来源(源 IP、传输边界或相互认证)。 6. 文档更新:更新部署说明,确保操作员必须提供非默认令牌。 利用代码 (POC) 1. 伪造执行器注册 2. 伪造任务回调