JumpServer3.10.0以下版本存在开放重定向漏洞CVE-2024-24763

admin 2024年2月23日09:21:04评论30 views字数 466阅读1分33秒阅读模式

漏洞简介

JumpServer 是开源的堡垒机和运维安全审计系统。

JumpServer 3.10.0之前版本中存在开放重定向漏洞,攻击者诱导用户点击恶意链接如:hxxps://demo.jumpserver.org/core/auth/login/?next=//google.com,其中next参数可以指定为其它恶意域名,进而进行钓鱼或跨站脚本攻击。

影响范围

jumpserver@(-∞, 3.10.0)

利用细节

http://demo.com/core/auth/login/?next=//google.com

访问下面的链接,用户登录以后,可重定向到google

JumpServer3.10.0以下版本存在开放重定向漏洞CVE-2024-24763

参考链接

https://github.com/jumpserver/jumpserver/security/advisories/GHSA-p2mq-cm25-g4m5

https://www.oscs1024.com/hd/MPS-3dz5-xuk2

原文始发于微信公众号(信安路漫漫):JumpServer3.10.0以下版本存在开放重定向漏洞CVE-2024-24763

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月23日09:21:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   JumpServer3.10.0以下版本存在开放重定向漏洞CVE-2024-24763http://cn-sec.com/archives/2517837.html

发表评论

匿名网友 填写信息