开源堡垒机JumpServer远程命令执行漏洞风险提示

2021年1月15日，阿里云应急响应中心监控到开源堡垒机JumpServer发布更新，修复了一处远程命令执行漏洞。

漏洞描述

JumpServer 是全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 是符合4A 的专业运维审计系统。JumpServer 使用Python / Django 进行开发。2021年1月15日，阿里云应急响应中心监控到开源堡垒机JumpServer发布更新，修复了一处远程命令执行漏洞。由于 JumpServer 某些接口未做授权限制，攻击者可构造恶意请求获取到日志文件获取敏感信息，或者执行相关API操作控制其中所有机器，执行任意命令。阿里云应急响应中心提醒 JumpServer 用户尽快采取安全措施阻止漏洞攻击。

影响版本

JumpServer < v2.6.2

JumpServer < v2.5.4

JumpServer < v2.4.5

JumpServer = v1.5.9

安全版本

JumpServer >= v2.6.2

JumpServer >= v2.5.4

JumpServer >= v2.4.5

安全建议

1、升级 JumpServer 至最新版本。

2、设置当前产品的控制台登录IP地址白名单限制。

相关链接

https://github.com/jumpserver/jumpserver/blob/master/README.md

声明：本文来自阿里云先知，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

开源堡垒机JumpServer远程命令执行漏洞风险提示

CrushFTP服务器端模板注入漏洞 (CVE-2024-4040) 安全通告

八大主流中文手机输入法曝出泄密漏洞，仅华为幸免

kkFileView远程代码执行漏洞安全风险通告