【漏洞预警】JumpServer多个安全漏洞威胁通告

1. 通告信息近日，安识科技A-Team团队监测到JumpServer中修复了多个安全漏洞，其中包括：CVE-2023-42820：JumpServer密码重置漏洞CVE-2023-43650：JumpServer密码重置暴力破解漏洞CVE-2023-43651：JumpServer koko组件远程命令执行漏洞对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。2. 漏洞概述简述：JumpServer 是一款广受欢迎的开源堡垒机，是符合 4A 规范的专业运维安全审计系统。漏洞名称：JumpServer密码重置漏洞CVE编号：CVE-2023-42820JumpServer v2.24 - v3.6.4中存在密码重置漏洞，该漏洞是由于第三方库将随机数种子暴露给API，造成随机数种子泄露，从而可能允许重放随机生成的验证码，导致密码重置。可通过启用 MFA或关闭本地身份验证来缓解该漏洞。漏洞名称：JumpServer密码重置暴力破解漏洞CVE编号：CVE-2023-43650JumpServer ………………………………