Уязвимость была обнаружена в xuxueli xxl-job до версии 3.3.2. Это влияет на неизвестную функцию файла source-code/src/main/java/com/xxl/job/admin/controller/JobInfoController.java. Результатом манипуляции является подделка запроса на стороне сервера.
Атаку можно запустить удаленно. Эксплойт теперь общедоступен и может быть использован. Сопровождающий проекта закрыл отчет о проблеме следующим заявлением: «Требуется проверка безопасности токена доступа». (перевод с китайского)
Показать оригинальное описание (EN)
A vulnerability was detected in xuxueli xxl-job up to 3.3.2. This impacts an unknown function of the file source-code/src/main/java/com/xxl/job/admin/controller/JobInfoController.java. The manipulation results in server-side request forgery. It is possible to launch the attack remotely. The exploit is now public and may be used. The project maintainer closed the issue report with the following statement: "Access token security verification is required." (translated from Chinese)
Характеристики атаки
Последствия
Строка CVSS v4.0