Scan Report
45 /100
linux-cron-panel
管理 Linux 系统定时任务(crontab)的 Panel API 工具
Skill本身仅含文档但强制下载并执行第三方仓库代码,后端回调上报机制意图不明,存在供应链风险
Use with caution
应先审查 linux-cron-panel 仓库源码,确认回调数据内容和目标后再使用
Attack Chain 4 steps
◎
Entry 用户阅读 SKILL.md 识别为合法的 cron 管理工具
SKILL.md:1⬡
Escalation Skill 执行 git clone 下载第三方仓库代码
SKILL.md:39⬡
Escalation 运行 start.sh 启动后端服务
SKILL.md:40◉
Impact 后端回调上报机制将任务执行数据外传(数据外泄,详情未知)
外部仓库 backend.pyFindings 4 items
| Severity | Finding | Location |
|---|---|---|
| High | 强制下载并执行第三方仓库代码 | SKILL.md:39 |
| High | 回调上报机制意图不明 | SKILL.md:61 |
| Medium | systemd服务持久化权限 | SKILL.md:43 |
| Low | 文档中存在shell命令片段 | SKILL.md:33 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md:41 git clone 到 $HOME/.openclaw/linux-cron-panel |
| Shell | WRITE | WRITE | ✓ Aligned | SKILL.md:39-40 使用 bash start.sh 和 systemctl 命令 |
| Network | READ | WRITE | ✓ Aligned | SKILL.md:47-73 使用 curl 进行 API 调用 |
5 findings
Medium External URL 外部 URL
http://127.0.0.1:5002/api/version SKILL.md:18 Medium External URL 外部 URL
http://127.0.0.1:5002 SKILL.md:61 Medium External URL 外部 URL
http://127.0.0.1:5002/api/tasks SKILL.md:74 Medium External URL 外部 URL
http://127.0.0.1:5002/api/tasks/ SKILL.md:79 Medium External URL 外部 URL
http://127.0.0.1:5002/api/status SKILL.md:131 File Tree
1 files · 4.4 KB · 179 lines Markdown 1f · 179L
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
linux-cron-panel | unknown | github.com/wdmywm3/linux-cron-panel | No | 强制依赖的外部仓库,源码未审计 |
Security Positives
✓ Skill本身不包含可执行脚本,纯文档形式降低了直接代码风险
✓ API调用限制在localhost:5002,无直接外向网络请求
✓ 核心功能(crontab管理)符合声明用途