Een kritieke kwetsbaarheid, CVE-2025-9263, is aangetroffen in Xuxueli xxl-job tot en met versie 3.1.1. Deze kwetsbaarheid betreft de functie getJobsByGroup in de Java-broncode van /src/main/java/com/xxl/job/admin/controller/JobLogController.java. Dit lek maakt verkeerde controle over resource identifiers mogelijk, wat een groot risico vormt.
Hoewel deze exploit reeds openbaar is gemaakt en op afstand misbruikt kan worden, treft het systemen waar specifieke rechten vereist zijn om te profiteren van deze kwetsbaarheden.
Overzicht
De kwetsbaarheid heeft een CVSS-score van 5.3 en wordt aangeduid als een medium risico. De aanval vereist lage toegangsniveaus en kan zonder interactie met de gebruiker worden uitgevoerd.
Aanbevelingen
- Controleer of uw installatie van Xuxueli xxl-job versie 3.1.0 of 3.1.1 draait en overweeg direct te upgraden naar een gepatchte versie zodra beschikbaar.
- Volg scripten en beveiligingsmedewerkers voor meldingen over patch releases.
- Implementeer tijdelijk netwerksegmentatie als verzachtende maatregel om ongeoorloofde toegang tot kwetsbare systemen te beperken.
Bronnen
- VDB-320805 | Xuxueli xxl-job JobLogController.java getJobsByGroup resource injection
- VDB-320805 | CTI Indicators (IOB, IOC, IOA)
- Submit #631704 | xuxueli xxl-job ≤ 3.1.1 IDOR
- GitHub Issue: Openbare exploit
Vraag en Antwoord
Wat is CVE-2025-9263?
Dit CVE identificeert een kwetsbaarheid waarbij onvoldoende controle op resource identifiers in de software leidt tot een mogelijke lek in de beveiliging van het systeem.
Welke systemen zijn kwetsbaar voor CVE-2025-9263?
Systemen die Xuxueli xxl-job versie 3.1.0 of 3.1.1 gebruiken, zijn direct kwetsbaar voor deze exploit.
Bestaat er al een patch of beveiligingsupdate?
Nee, op dit moment is er nog geen patch beschikbaar. Volg de officiële communicatiekanalen van de provider voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan middels resource injectie ongeautoriseerde toegang tot functiebestanden verkrijgen, wat potentieel gevoelige gegevens blootstelt.
