XXL-JOB IDOR 漏洞总结 漏洞概述 漏洞类型:不安全的直接对象引用 (IDOR) 受影响组件: 受影响版本:xxl-job <= 3.3.2 漏洞描述: 接口(用于获取日志内容)未执行组权限校验,而 接口有校验。攻击者通过枚举或猜测有效的 ,即可读取不属于其授权 JobGroup 的日志内容。 影响范围 权限要求:攻击者只需拥有合法的认证账号,无需管理员权限。 数据泄露:可跨组访问执行日志,导致敏感业务参数、内部网络地址、堆栈跟踪、操作元数据及密码等敏感信息泄露。 修复方案 1. 在 接口中,加载 后,调用 进行权限校验。 2. 将 视为受保护的对象引用,验证当前用户是否有权访问关联的 。 3. 避免暴露可预测的标识符。 4. 添加回归测试,确保 和 强制执行相同的授权规则。 关键代码对比 存在漏洞的代码 ( ): 有权限校验的代码 ( ):