【漏洞预警】Jumpserver容易通过任意IP值绕过密码暴力保护(CVE-2023-46123)

2023年10月25日22:27:45评论39 views字数 243阅读0分48秒阅读模式

漏洞详情:
Jumpserver是一款开源的堡垒机，专业遵循4A规范的运维安全审计系统。Core API中的一个缺陷允许攻击者通过欺骗任意IP地址来绕过密码暴力保护。通过利用此漏洞，攻击者可以通过更改每个请求的明显IP地址来有效地进行无限制的密码尝试。此漏洞已在3.8.0版中修补。

影响版本:
jumpserver==< 3.8.0

修复方案:
更新到最新版本

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Jumpserver容易通过任意IP值绕过密码暴力保护(CVE-2023-46123)

Craft CMS 远程代码执行漏洞复现（附nuclei POC）