XXL-JOB API 接口未授权访问致反序列化漏洞

漏洞简介

默认情况下XXL-JOB的API接口没有配置认证措施，未授权的攻击者可构造恶意请求，触发反序列化，造成远程执行命令，直接控制服务器。XXL-JOB API 接口未授权访问致反序列化漏洞，利用无需登录，实际风险极高。建议XXL-JOB 用户尽快采取安全措施阻止漏洞攻击。

影响范围

XXL-JOB <= 2.2.0

根据目前最新数据（一年内数据），显示全球范围内（app="XXL-JOB"）共有866个相关服务对外开放。中国大陆使用数量最多，共有757个；美国第二，共有43个；中国香港第三，共有34个；新加坡第四，共有18个；中国台湾第五，共有4个。

中国大陆地区浙江使用数量最多，共有 160 个；北京第二，共有 50 个；广东第三，共有 18 个；江苏第四，共有 15 个；福建第五，共有 6 个。

修复方案

增加授权验证，配置 xxl.job.accessToken 防止未授权访问漏洞。

参考

https://github.com/xuxueli/xxl-job