网络安全

安全预警

当前位置: 首页 >> 网络安全 >> 安全预警 >> 正文

XXL-JOB跨站请求伪造漏洞(CNVD-2023-67068)

发布日期:2023-08-19    点击:

CNVD-ID CNVD-2023-67068

公开日期 2023-08-18

危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C)

影响产品 xxl-job xxl-job 2.2.0

CVE ID CVE-2020-24922

漏洞描述 XXL-JOB是许雪里(XXL-JOB)社区的一款基于java语言的分布式任务调度平台。

XXL-JOB 2.2.0版本存在跨站请求伪造漏洞,该漏洞源于xxl-job-admin/user/add中未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过设计.html文件执行任意代码。

漏洞类型 通用型漏洞

参考链接https://nvd.nist.gov/vuln/detail/CVE-2020-24922

漏洞解决方案 厂商尚未提供漏洞修复方案,请关注厂商主页更新:

https://github.com/wuzhicms/wuzhicms/issues/192

厂商补丁 (无补丁信息)

验证信息 已验证

报送时间 2023-08-15

收录时间 2023-09-05

更新时间 2023-09-05

漏洞附件 (无附件)

在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。

(信息来源:国家信息安全漏洞共享平台)

版权所有:2299威尼斯 信息化建设处