【未授权漏洞】PowerJob未授权访问漏洞(CVE-2023-29922)

╰半橙微兮° 2024-03-16 16:40 99阅读 0赞

## 0x01 漏洞描述 ##

PowerJob是一个开源分布式计算和作业调度框架，它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V`4.3.1`版本存在安全漏洞，该漏洞源于存在不正确访问控制。

PowerJob 受影响版本中由于 JobController\#listJobs 方法未对用户身份进行校验，攻击者可通过向 /job/list 接口发送POST请求，指定 appId 参数即可列出对应的正在运行的任务列表以及它们的状态信息。

## 0x02 影响版本 ##

PowerJob <=4.3.2

## 0x03 脚本利用 ##

FOFA： title= " PowerJob"  
![在这里插入图片描述][8ed0d403c3184581b4e01d7d8ad214d2.png]  
GitHub: https://github.com/1820112015/CVE-2023-29923

1、将目标资产放入url.txt  
![在这里插入图片描述][3e7c3a6379874818b2229b5f78ec770e.png]  
执行： python CVE-2023-29923.py -f url.txt  
![在这里插入图片描述][f477b0c6502f4ac3abc6386c3591f44a.png]

## 0x04 修复方案 ##

官方补丁：https://github.com/PowerJob/PowerJob/releases/tag/v4.3.2

[8ed0d403c3184581b4e01d7d8ad214d2.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/16/d1b9141c84234fc5a25ec3d32a793ba4.png
[3e7c3a6379874818b2229b5f78ec770e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/16/69d7765ba5ce49498fac6207dc714139.png
[f477b0c6502f4ac3abc6386c3591f44a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/16/c0c5ee62328b407aa33c9408e352bbd6.png

发表评论取消回复

表情：

评论列表（有 0 条评论，99人围观）

还没有评论，来说两句吧...

相关阅读

相关【漏洞复现】Joomla未授权访问漏洞(CVE-2023-23752)

文章目录前言声明一、漏洞简介二、影响版本三、环境搭建四、漏洞分析五、漏洞复现六、修复建议 -------

た入场券/ 2024年03月22日 12:33/ 0 赞/ 88 阅读

相关【未授权漏洞】PowerJob未授权访问漏洞(CVE-2023-29922)

0x01 漏洞描述 PowerJob是一个开源分布式计算和作业调度框架，它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V`4.3.1`版本存在安全漏洞，

╰半橙微兮°/ 2024年03月16日 16:40/ 0 赞/ 100 阅读

相关【漏洞复现】JumpServer未授权访问漏洞(CVE-2023-42442)

文章目录前言声明一、JumpServer简介二、漏洞描述三、影响范围四、资产搜索五、漏洞复现六、修复建议

ゝ一世哀愁。/ 2024年03月02日 03:09/ 0 赞/ 97 阅读

相关 Nacos未授权访问漏洞（CVE-2021-29441）

目录漏洞描述影响范围环境搭建漏洞复现声明：本文仅供学习参考，其中涉及的一切资源均来源于网络，请勿用于任何非法行为，否则您将自行承担相应

╰+攻爆jí腚メ/ 2023年10月08日 19:33/ 0 赞/ 18 阅读

相关 Weblogic未授权访问漏洞-CVE-2020-14882&&CVE-2020-14883

漏洞名称 Weblogic未授权访问漏洞-CVE-2020-14882&&CVE-2020-14883 漏洞描述 Weblogic 管理控制台未授权远程命

Bertha 。/ 2023年10月07日 21:44/ 0 赞/ 41 阅读

相关 springboot未授权漏洞(漏洞复现Springboot未授权访问及修复)

1、springboot未授权漏洞问题描述 Actuator 是Springboot提供的用来对应用系统进行自省和监控的功能模块，借助于Actuator开发者可以很方便地

港控/mmm°/ 2023年09月25日 23:55/ 0 赞/ 36 阅读

相关 JBoss漏洞:Jboss未授权访问漏洞

Jboss未授权访问漏洞合集:JBOSS未授权访问漏洞表现为,在默认情况下无需账密就可以直接访问http://127.0.0.1:8080/jmx-console进入管理控制台

た入场券/ 2023年09月23日 14:36/ 0 赞/ 181 阅读

相关 Redis未授权访问的漏洞

【漏洞概述】 Redis 默认情况下，会绑定在 0.0.0.0:6379，导致Redis服务暴露到公网上。如果在没有开启认证并且在任意用户可以访问目标服务器的情况下，从而

缺乏、安全感/ 2022年05月13日 06:40/ 0 赞/ 280 阅读

相关 mongodb未授权访问漏洞

catalogue 1. mongodb安装 2. 未授权访问漏洞 3. 漏洞修复及加固 4. 自动化检测点 1. mongodb安装

向右看齐/ 2022年03月30日 07:58/ 0 赞/ 607 阅读

相关 redis未授权访问漏洞利用

参考：[https://blog.csdn.net/guxiaoguo/article/details/78913245][https_blog.csdn.net_guxiao

缺乏、安全感/ 2021年12月04日 01:25/ 0 赞/ 405 阅读