Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Xuxueli xxl-job (CVE-2025-7789)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-326 Fortaleza de cifrado inadecuada
Fecha de publicación:
18/07/2025
Última modificación:
22/07/2025

Descripción

Se encontró una vulnerabilidad en Xuxueli xxl-job hasta la versión 3.1.1, clasificada como problemática. Este problema afecta a la función makeToken del archivo src/main/java/com/xxl/job/admin/controller/IndexController.java del componente Token Generation. La manipulación genera un hash de contraseña con un esfuerzo computacional insuficiente. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado.

Impacto

Puntuación base 4.0
6.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Puntuación base 2.0
2.60
Gravedad 2.0
BAJA