CVE-2025-11580CVE-2025-11580是PowerJob分布式任务调度框架中的一个中危安全漏洞,影响版本至5.1.2。该漏洞存在于/user/list接口的list函数中,属于典型的访问控制缺陷(Broken Access Control)。攻击者无需任何身份认证即可通过远程网络访问该接口,导致用户列表信息泄露。CVSS 3.1评分为5.3分,攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需特权(PR:N)和用户交互(UI:N),对机密性产生低影响(C:L),对完整性和可用性无影响。该漏洞已被公开披露,相应的利用代码(Exploit)已在互联网上公开传播,潜在威胁较高。PowerJob作为一款开源的分布式计算和任务调度框架,广泛应用于企业级数据处理、定时任务调度等场景。该漏洞的存在使得未授权用户能够获取系统中的用户信息,可能为后续攻击(如暴力破解、权限提升、社会工程学攻击等)提供信息基础。建议相关用户尽快升级到修复版本,并加强对管理接口的访问控制。
该漏洞的核心问题在于PowerJob的/user/list接口缺少必要的权限校验机制。在正常的权限控制设计中,涉及用户列表查询的接口应当要求请求者具备管理员权限或特定角色权限。然而,在受影响的PowerJob版本(≤5.1.2)中,开发者未在该接口的控制器方法上添加适当的权限注解或拦截器校验,导致任何能够访问该应用的网络用户都可以直接调用该接口。
从技术层面分析,攻击者只需构造一个简单的HTTP GET请求,访问目标PowerJob服务的/user/list端点,即可获取系统中所有用户的列表信息,包括用户名、邮箱、角色等敏感数据。返回的数据通常以JSON格式呈现,便于攻击者进一步解析和利用。
该漏洞的利用门槛极低:1)无需认证凭据;2)无需用户交互;3)可通过标准HTTP请求完成;4)攻击复杂度低。由于漏洞信息及PoC已公开发布,任何具备基本网络访问能力的攻击者都可以利用此漏洞进行信息收集,为后续攻击活动奠定基础。