JumpServer CVE-2023-42442 未授权访问漏洞通告
漏洞概述近日,华为感知到JumpServer中修复了一个未授权访问漏洞(CVE-2023-42442)。此漏洞是由于应用程序没有对用户权限进行正确校验导致的,远程且未经身份认证的攻击者可以通过利用此漏洞获取敏感信息。 JumpServer 是一款广受欢迎的开源堡垒机,可以帮助企业以更安全的方式管控和登录所有类型的资产。鉴于此漏洞危害严重且影响范围较大,建议广大用户及时参考厂商提供的解决方案做好风险排查及防护,避免遭受黑客的攻击。
关键信息
受影响的版本- 3.0.0 <= JumpServer < 3.5.5 - 3.6.0 <= JumpServer < 3.6.4 解决方案1. 华为解决方案 华为在感知到该漏洞信息以后,安全研究人员持续关注此漏洞相关信息,复现漏洞PoC(Proof-of-Concept),并立即开发IPS防护签名。目前最新IPS签名库已推送到升级网站,可供客户升级使用。
2. 厂商解决方案 升级软件版本到官网最新(已修复)版本: https://github.com/jumpserver/jumpserver/releases
参考链接https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42442 |
