PowerJob /job/list 接口未授权访问漏洞

漏洞概述： PowerJob 的 `/job/list` 接口存在未授权访问/权限校验缺失问题，对应 CVE-2023-29923。公开信息显示，攻击者可通过构造对该接口的请求并修改 `appId` 参数，读取任意应用的任务列表信息。 影响范围： 已确认受影响版本包含 PowerJob 4.3.1。部分公开漏洞库将影响范围描述为截至 4.3.1 的版本，但该范围与 NVD 的明确列举并不完全一致，建议结合实际部署版本复核。 利用条件： 攻击者需能够通过网络访问 PowerJob 控制台相关接口；根据公开 issue，调用 `/job/list` 时无需充分授权校验，修改请求体中的 `appId` 后即可查看其他应用的任务信息。 修复建议： 当前未检索到明确、可核验的官方修复版本公告。建议立即为控制台接口增加身份认证与授权校验，限制管理端暴露范围，结合反向代理或网关进行访问控制，并持续关注官方仓库/公告获取后续修复信息。 参考链接： 请见 `source_links` 字段。