关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

【安全通报】JumpServer远程命令执行漏洞

发布时间:2021-01-18 19:32:30

2021年1月15日,百度云安全监测到JumpServer发布紧急的安全公告,修复了一处远程命令执行漏洞。由于JumpServer某些接口未进行权限限制,攻击者可以构造恶意请求获取日志文件,或者通过相关API操作控制所有机器,达到远程命令执行的目的。

漏洞风险

高危

影响版本

小于2.6.2
小于2.5.4
小于2.4.5
1.5.9

修复建议

1、将JumpServer升级至安全版本v2.4.5、v2.5.4、v2.6.2;
2、使用临时的修复解决方案,通过修改 Nginx 配置文件屏蔽如下漏洞接口:
/api/v1/authentication/connection-token/
/api/v1/users/connection-token/

相关链接

https://github.com/jumpserver/jumpserver/blob/master/README.md




/template/Home/Zkeys/PC/Static