JumpServer 是一款开源的堡垒机系统,用于管理和控制服务器访问权限。它提供了安全的跳板机功能,帮助组织管理和监控用户对服务器的访问,并实现权限分级管理、审计跟踪和会话录像等功能。JumpServer具有易用性和灵活性,支持多种认证方式和可扩展的插件系统,使其成为保障服务器安全和管理的重要工具。该漏洞允许具有低权限帐户的攻击者访问Kubernetes会话特性并操纵kubecconfig文件,将API请求重定向到攻击者控制的外部服务器。这允许攻击者拦截并捕获Kubernetes集群令牌。
JumpServer <= 4.6
JumpServer <= 3.10.17
JumpServer >= 4.7
JumpServer >= 3.10.18
1.https://github.com/jumpserver/jumpserver/security/advisories/GHSA-5q9w-f4wh-f535
原文始发于微信公众号(安全聚):【漏洞预警】JumpServer信息泄露漏洞(CVE-2025-27095)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论