【漏洞信息】JumpServer

【漏洞信息】JumpServer

漏洞简介

远程代码执行漏洞具有低权限用户帐户的攻击者可通过构建恶意playbook模板绕过Ansible中的输入验证机制,从而在Celery容器中执行任意代码。

JINJA2注入代码执行漏洞具有低权限用户帐户的攻击者可通过构建恶意playbook模板利用Ansible中的Jinja2模板代码注入漏洞在Celery容器中执行任意代码。由于Celery容器以root权限运行并具有数据库访问权限,因此攻击者可以从所有主机窃取敏感信息或操纵数据库

漏洞影响

V3.0.0<= Jumpserver <= V3.10.6

漏洞复现

登陆创建的普通用户账号,进入,作业中心-模板管理添加一
个游戏手册图片[1]-【漏洞信息】JumpServer-Trojan

 

登陆创建的普通用户账号,进入作业中心-模板管理添加一个
剧本

图片[2]-【漏洞信息】JumpServer-Trojan

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
自古评论出人才是你吗?
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容