Ibrahim-Sartawi/CVE-2026-26718
GitHub: Ibrahim-Sartawi/CVE-2026-26718
该项目披露并复现了 xxl-job-admin 3.4.0 以下版本中 Glue IDE 脚本保存端点的 CSRF 漏洞,攻击者可借此篡改已认证管理员的 shell 脚本。
Stars: 0 | Forks: 0
## 描述
# 摘要
xxl-job-admin Web 应用程序中存在一个跨站请求伪造(CSRF)漏洞,允许攻击者对 Glue IDE shell 脚本进行未经授权的修改。受影响的 endpoint 缺乏适当的 CSRF token 验证,并且通过宽松的 request mapping 接受任意的 HTTP 方法。
# 受影响产品
```
xxl-job < 3.4.0
```
# 影响
攻击者可以诱骗已通过身份验证的管理员对 Glue IDE shell 脚本进行未经授权的更改。
# 概念验证
# Payload
```
// Decode and change it
```
致谢
Ibrahim Sartawi
# Payload
```
// Decode and change it
```
致谢
Ibrahim Sartawi标签:CSRF, PoC, Web安全, XXL-Job, 多模态安全, 数据可视化, 暴力破解, 漏洞披露, 蓝队分析