CNVD-ID CNVD-2023-67068

公开日期 2023-08-18

危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C)

影响产品 xxl-job xxl-job 2.2.0

CVE ID CVE-2020-24922

漏洞描述 XXL-JOB是许雪里（XXL-JOB）社区的一款基于java语言的分布式任务调度平台。

XXL-JOB 2.2.0版本存在跨站请求伪造漏洞，该漏洞源于xxl-job-admin/user/add中未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过设计.html文件执行任意代码。

漏洞类型 通用型漏洞

参考链接https://nvd.nist.gov/vuln/detail/CVE-2020-24922

漏洞解决方案 厂商尚未提供漏洞修复方案，请关注厂商主页更新：

https://github.com/wuzhicms/wuzhicms/issues/192

厂商补丁 (无补丁信息)

验证信息 已验证

报送时间 2023-08-15

收录时间 2023-09-05

更新时间 2023-09-05

漏洞附件 (无附件)

在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

（信息来源：国家信息安全漏洞共享平台）