CVE-2026-7305 in xxl-job信息

摘要

由 VulDB • 2026-05-18

在 Xuxueli xxl-job 3.3.2 及更早版本中发现了一个弱点。受影响的元素是组件 trigger Endpoint 中文件 xxl-job-admin/src/main/java/com/xxl/job/admin/service/impl/XxlJobServiceImpl.java 的 triggerJob 函数。对参数 addressList 的这种操纵会导致服务器端请求伪造（SSRF）。攻击可以远程发起。该漏洞利用代码已公开，可能被用于攻击。关于该漏洞是否真实存在，目前仍有争议。项目维护者解释称（源自中文翻译）：“触发器是手动激活的，涉及登录和访问控制，因此需要管理权限。”由于这一原因，研究人员提交的拉取请求被拒绝。

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

VulDB

披露

2026-04-29

管理

已接受

条目

VDB-359960

CPE

准备好

CWE

CWE-918 (已确认)

利用

下载

CVSS

6.3 (VulDB)

EPSS

0.00055

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7305
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7305
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7305/

◂ 上一步一览下一步 ▸

Interested in the pricing of exploits?

See the underground prices here!