Ibrahim-Sartawi/CVE-2026-26718

GitHub: Ibrahim-Sartawi/CVE-2026-26718

该项目披露并复现了 xxl-job-admin 3.4.0 以下版本中 Glue IDE 脚本保存端点的 CSRF 漏洞,攻击者可借此篡改已认证管理员的 shell 脚本。

Stars: 0 | Forks: 0

## 描述 # 摘要 xxl-job-admin Web 应用程序中存在一个跨站请求伪造(CSRF)漏洞,允许攻击者对 Glue IDE shell 脚本进行未经授权的修改。受影响的 endpoint 缺乏适当的 CSRF token 验证,并且通过宽松的 request mapping 接受任意的 HTTP 方法。 # 受影响产品 ``` xxl-job < 3.4.0 ``` # 影响 攻击者可以诱骗已通过身份验证的管理员对 Glue IDE shell 脚本进行未经授权的更改。 # 概念验证 Slide1 Slide2 Slide3 Slide4 # Payload ``` // Decode and change it
``` 致谢 Ibrahim Sartawi
标签:CSRF, PoC, Web安全, XXL-Job, 多模态安全, 数据可视化, 暴力破解, 漏洞披露, 蓝队分析