关键信息总结 漏洞概述 漏洞类型: IDOR (Insecure Direct Object References) 影响版本: xxl-job ≤ 3.1.1 漏洞描述: 未经授权的作业删除漏洞,允许认证但未授权的用户删除作业。 漏洞细节 1. 权限检查问题: - 类中的 方法仅检查用户是否登录,未验证用户是否有权限管理特定作业。 - 和 未正确实现访问控制。 2. 代码示例: 利用方式 认证用户无需任何分配的作业组即可删除系统中的任何作业。 示例请求: 影响 未经授权的作业删除 潜在破坏计划任务和业务操作 通过利用不充分的访问控制升级权限 修复建议 应用 到 路由以强制执行适当的组级别授权检查。