【漏洞预警】Jumpserver容易通过任意IP值绕过密码暴力保护(CVE-2023-46123)

2023年10月25日22:27:45评论56 views字数 243阅读0分48秒阅读模式

漏洞详情:
Jumpserver是一款开源的堡垒机，专业遵循4A规范的运维安全审计系统。Core API中的一个缺陷允许攻击者通过欺骗任意IP地址来绕过密码暴力保护。通过利用此漏洞，攻击者可以通过更改每个请求的明显IP地址来有效地进行无限制的密码尝试。此漏洞已在3.8.0版中修补。

影响版本:
jumpserver==< 3.8.0

修复方案:
更新到最新版本

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Jumpserver容易通过任意IP值绕过密码暴力保护(CVE-2023-46123)

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2023年10月25日22:27:45
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
【漏洞预警】Jumpserver容易通过任意IP值绕过密码暴力保护(CVE-2023-46123)https://cn-sec.com/archives/2145166.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

Kerio Control CRLF注入漏洞