漏洞详情:
Jumpserver是一款开源的堡垒机,专业遵循4A规范的运维安全审计系统。Core API中的一个缺陷允许攻击者通过欺骗任意IP地址来绕过密码暴力保护。通过利用此漏洞,攻击者可以通过更改每个请求的明显IP地址来有效地进行无限制的密码尝试。此漏洞已在3.8.0版中修补。
影响版本:
jumpserver==< 3.8.0
修复方案:
更新到最新版本
原文始发于微信公众号(飓风网络安全):【漏洞预警】Jumpserver容易通过任意IP值绕过密码暴力保护(CVE-2023-46123)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论