漏洞简介
远程代码执行漏洞具有低权限用户帐户的攻击者可通过构建恶意playbook模板绕过Ansible中的输入验证机制,从而在Celery容器中执行任意代码。
JINJA2注入代码执行漏洞具有低权限用户帐户的攻击者可通过构建恶意playbook模板利用Ansible中的Jinja2模板代码注入漏洞在Celery容器中执行任意代码。由于Celery容器以root权限运行并具有数据库访问权限,因此攻击者可以从所有主机窃取敏感信息或操纵数据库
漏洞影响
V3.0.0<= Jumpserver <= V3.10.6
漏洞复现
登陆创建的普通用户账号,进入,作业中心-模板管理添加一
个游戏手册
登陆创建的普通用户账号,进入作业中心-模板管理添加一个
剧本
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容