漏洞描述
Jumpserver是中国杭州飞致云信息科技有限公司的一款开源堡垒机。 JumpServer 存在授权问题漏洞,该漏洞源于无需身份验证即可下载会话回放。
漏洞危害
攻击者可在没有认证的情况下直接操作对应的 API 接口,可直接被非法增删改查数据。且因为攻击是在未认证下进行的,所以后续无法通过定位用户进行异常排查。
检测工具
修复方法
官方已发布安全修复版本,请升级至3.6.4或之后的版本
下载地址:https://github.com/jumpserver/jumpserver
参考链接
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-09-16
漏洞信息更新
2025-04-01
