免责声明:请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具均为作者根据互联网资源总结的学习笔记,文末已注明引用文章出处,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
一.漏洞信息
二.资产测绘
fofa:app="JumpServer-堡垒机"
hunter:app.name="JumpServer"
三.漏洞复现
访问http://*url*/api/v1/terminal/sessions/
四.漏洞修复
升级到安全版本:JumpServer >= 3.5.5 JumpServer >= 3.6.4
./jmsctl.sh backup_db #备份数据库./jmsctl.sh check_update #检查可用更新./jmsctl.sh upgrade [version] #升级指定版本./jmsctl.sh start #启动jumpserver
参考文章:https://github.com/jumpserver/jumpserver/security/advisories/GHSA-633x-3f4f-v9rw
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...