0x01 漏洞描述
PowerJob是一个开源分布式计算和作业调度框架,它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V4.3.1版本存在安全漏洞,该漏洞源于存在不正确访问控制。
PowerJob 受影响版本中由于 JobController#listJobs 方法未对用户身份进行校验,攻击者可通过向 /job/list 接口发送POST请求,指定 appId 参数即可列出对应的正在运行的任务列表以及它们的状态信息。
0x02 影响版本
PowerJob <=4.3.2
0x03 脚本利用
FOFA: title= " PowerJob"
GitHub: https://github.com/1820112015/CVE-2023-29923
1、将目标资产放入url.txt
执行: python CVE-2023-29923.py -f url.txt
0x04 修复方案
官方补丁:https://github.com/PowerJob/PowerJob/releases/tag/v4.3.2