【漏洞预警】飞致云 JumpServer 需授权 任意文件读取漏洞 (CVE-2024-40628)

文章预览

漏洞详情: JumpServer 是一个开源的特权访问管理（PAM）工具,通过Web浏览器为DevOps和IT团队提供对SSH、RDP、Kubernetes、数据库和 RemoteApp 端点的即时且安全的访问,JumpServer 存在一个任意文件读取漏洞,拥有低权限的攻击者可以利用ansible playbook在celery容器中读取任意文件,导致敏感信息泄露,Celery容器以root身份运行并具有数据库访问权限,允许攻击者窃取所有主机的秘密、创建具有管理员权限的新JumpServer帐户或以其他方式操纵数据库。 修复方案: 厂商已发布补丁修复漏洞,用户请尽快更新至安全版本: JumpServer >=v3.10.12 JumpServer >=v4.0.0 下载链接： https://github.com/jumpserver/jumpserver/tags 与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。 参考链接: https://github.com/jumpserver/jumpserver/security/advisories/GHSA-rpf7-g4xh-84v9 ………………………………