北京赛克艾威科技有限公司 2023-09-27
近日,赛克艾威网络安全实验室监测到JumpServer v2.24 - v3.6.4存在密码重置漏洞。
fofa:app="JumpServer"
hunter:app.name="JumpServer"
攻击者可利用该漏洞,在未登录的情况下,利用API造成随机数种子泄露,进而重放随机生成的验证码,导致密码重置,最终登录JumpServer。
组件 影响版本 安全版本
JumpServer v2.24 - v3.6.4 >= v2.28.20,>= v3.7.1
根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。
参考链接:
https://github.com/jumpserver/jumpserver/security/advisories/GHSA-7prv-g565-82qp