JumpServer 任意密碼重置漏洞

來源: 投稿

作者: OSCS開源供應鏈安全

2023-09-28 10:11:00

從數據到大模型應用，11 月 25 日，杭州源創會，共享開發小技巧

漏洞描述

JumpServer 是一款開源的堡壘機。

在受影響版本中，由于第三方庫django-simple-captcha可以在 API /core/auth/captcha/images/{seed}中設置 random.seed隨機種子，導致隨機生成的重置密碼token存在重放風險。當使用本地認證時，攻擊者可以對已知用戶名發送重置密碼鏈接，通過重放得到重置密碼鏈接的token（例如https://xxx.com/core/auth/password/reset/?token=v4q1yLMqZ99jxxx），從而修改用戶密碼，登錄對應用戶賬號。

漏洞名稱	JumpServer 任意密碼重置漏洞
漏洞類型	輸入驗證不恰當
發現時間	2023-09-27
漏洞影響廣度	廣
MPS編號	MPS-7u1t-o45e
CVE編號	CVE-2023-42820
CNVD編號	-

影響范圍

JumpServer@[2.24, 2.28.19)

JumpServer@[3.6.0, 3.6.5)

JumpServer@[3.5.0, 3.5.6)

修復方案

啟用MFA或禁用本地身份驗證

參考鏈接

https://www.oscs1024.com/hd/MPS-7u1t-o45e

https://nvd.nist.gov/vuln/detail/CVE-2023-42820

????

免費情報訂閱&代碼安全檢測

OSCS是國內首個開源軟件供應鏈安全社區，社區聯合開發者幫助全球頂級開源項目解決安全問題，并提供實時的安全漏洞情報，同時提供專業的代碼安全檢測工具為開發者免費使用。社區開發者可以通過配置飛書、釘釘、企業微信機器人獲取一手的情報。

免費代碼安全檢測工具： https://www.murphysec.com/?src=osc

免費情報訂閱： https://www.oscs1024.com/cm/?src=osc

具體訂閱方式詳見： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展開閱讀全文

本站新聞禁止未經授權轉載，違者依法追究相關法律責任。授權請聯系：oscbianji#oschina.cn

本文標題：JumpServer 任意密碼重置漏洞

本文地址：http://www.doharose.com/news/259807

資訊來源：https://www.oscs1024.com/hd/MPS-7u1t-o45e?src=osc

熱門評論

Credo-Zhao 2023-11-12 20:19

接到電話,多個項目出問題,就順手就查是不是阿里云出問題了....果然...然后就是大群通知所有項目組排查,熱線/實施組跟進.網絡硬件組已經在考慮如何賠付的事兒了...??

yong230 2023-11-15 15:17

還比java底層，我笑了，就.net天下第一，呵呵

dwcz 2023-11-15 14:30

當結構龐大了，可讀性不能解決這類問題。還是得靠測試。再就是程序得自動修正能力。按實踐看，出錯是必然的，關鍵是及時止損的策略了。

TU-DESGIN 2023-11-15 14:36

錢太多燒地慌，不好好研究佛學研究怎么撈錢

yong230 2023-11-06 15:29

谷歌這么牛逼，咋不自己研發，還要收購安卓系統，2005年還要收購Skia 庫?

是不是玩不起啊 2023-11-15 08:57

最完美的全棧語言，比C++簡單，比Java底層，比Python寫更快！

sunday12345 2023-11-09 15:55

所以國內廠家，還是得學學人家～看看華為一個閃存門事件被干成什么樣了，看看人家，把消費者馴化得～

LongCity 2023-11-02 16:13

下次恢復回來，又是一次性能大幅度提升

talent-tan 2023-11-09 14:31

牛逼的產品都是用訂單展示實力，我在遙遠的江蘇都能聽到陳總企業微信收款的聲音。實力不允許你低調了，韜光養晦已經韜不住了??

Yanlongli 2023-11-06 11:54

經常搞新的東西，一年半載后不聞不問。不管好壞微軟有太多這樣的產品了

yong230 2023-11-15 15:15

舔微軟舔的惡心，c，go，rust，python方法名都推薦小寫你咋不叫呢

h4cd 2023-11-07 16:08

問題問得真真實。

amita 2023-11-06 08:36

太短視了。能無私投入開源的大概率屬于開放、喜歡分享、易合作人群，這其實屬于軟實力。很多程序員只能作打工人，是因為自私自利心太重，難以適應商業的開放合作特性

雙重否定表肯定 2023-11-14 11:33

發明這個功能的天才，是芒果TV的平臺運營中心副總經理陳超，曾榮獲金芒年度員工一等獎。他的兩項主要功績，第一是帶領團隊推出“互動廣告”系統，當時政策對開屏廣告點擊區域，做了嚴格限制，點擊率和填充率迅速下降。陳超帶領團隊通過產品“創新”，推出“搖一搖”“滑動”等交互方式，不僅維持住了原先的點擊率，更是開行業先河，引得互聯網平臺紛紛效仿。第二大成就是開發出“超級暫?！惫δ堋谝曨l播放的任意位置點擊暫停，視頻會快速縮小，大幅廣告頁面會占據整個畫面。該功能在2018年申請了專利，并得到了客戶的充分認可，競品平臺爭相模仿。

tageon 2023-11-15 15:49

吹牛不上稅

無盡的拉格朗日 2023-11-15 12:25

直接rust走起，一步到位，性能杠杠的。操作系統也能干，上層也能干，前端也能干。

tageon 2023-11-15 16:11

C#語法糖現在太雜了，每個版本都加了東西

漫步海邊小路 2023-11-06 16:56

桌面處理器很難搞，絕大多數中國用戶只會用windows,而龍芯注定只能用linux等系統。中國的linux軟件生態極其差，大廠沒幾個真正可用的項目，qq for linux 除外，qq音樂和百度云網盤也還行。網易云音樂的linux也沒了，之前還有幾個出過linux版軟件的也沒后續了，而微信堅決不重視linux,只出了個uos能用的極其簡易的版本

troika 2023-11-12 18:09

我早就預言以后肯定國產app商店將會全面過渡到鴻蒙，安卓將會慢慢禁止使用，只要慢慢要求國行手機如果要賣，必須發布功能版本手機，然后幾年后各種軟件不再發布安卓版本只發布鴻蒙版本，連走私的水貨安卓手機也沒用了。

yong230 2023-11-15 15:15

舔微軟舔的惡心，c，go，rust，python方法名都推薦小寫你咋不吠呢

monkey_cici 2023-11-15 15:56

很正常，國內很多不開源的，打著國產自主研發的口號，其實就是用開源的框架，再訓練一些中文數據集，號稱在某個領域超越ChatGPT4.0...

imzhi 2023-11-15 16:12

國產開源，改改變量名，就可以融資

漫步海邊小路 2023-11-15 16:42

Rust是最好的語言，唯一的缺點就是編譯速度略慢

依然藏鋒 2023-11-12 19:56

阿里云，哈哈，最坑的就是阿里云，又貴又坑，騰訊云都比它強！

依然藏鋒 2023-11-13 12:59

這就是996福報，帶頭優化35+ 以后的老技術員工的企業--阿里，35+的技術員工正是經驗豐富的時候，卻因為有了家庭，不能經常加班，不能卷，不能996，就"優化"掉，搞一群畢業才3-5年的，能加班的小年輕去搞，美其名曰"降本增效"，你看這下好了，"香港區事故"還沒多久，這又來了個大面積P0事故，這就是國內這些大互聯網公司帶壞的風氣。這下好了，反噬到自己了。

小小123321 2023-11-15 14:35

噴子永遠停留在噴得階段，去看看現在得鴻蒙吧。人家技術真的踏實在做事，噴子只會網上打打字，連代碼都不看了

osc_04614705 2023-11-07 15:18

貴陽本地IT圈的，剛聽到這個項目消息的時候確實比較驚訝，還特地去看了貴陽銀行的公告，4.27億不只是數據庫的，還有核心應用和其他應用、服務器、操作系統等等，這種扭曲事實、掐頭去尾的報到，想必是別有用心的人所為。還有就是這張“預祝海報”，自始至終人銀行官方都沒有發過，居然冒用銀行的logo和署名發布虛假海報，并且高調宣傳國外數據庫產品，我看“刑”。坐等官方消息吧，不信謠不傳謠！由此可見國產化道路充滿荊棘，衷心的祝愿國產技術越來越好！??

Yokesily 2023-11-14 13:52

而且降低編程語言可讀成本才是正確道路，而不是代碼花里胡哨，各種亂七八糟的語法糖，你看不懂我看不懂，如果更多人和實際使用者一看就懂，就很容易發現問題，當場就能“你這個不對，不是我想要的結果”

Socket378 2023-11-15 16:13

已申請內次，等待通過。。。

或許是阿猜 2023-11-15 15:18

所以是20%，人工修改80%就能用了

小石頭2016 2023-11-14 08:52

規則很重要！不然什么都可以無下限！

ddatsh 2023-11-15 15:59

是的，敲錯了

ydhh 2023-11-04 09:44

致力于開源的開發者都是特別灑脫的人,不然一個自私的人怎么可能花自己的時間貢獻、分享出自己的成果

山下農-山上仙 2023-11-03 13:49

感覺似乎有些道理

來自山卡拉的你 2023-11-15 14:56

現在油管和推特全是廣告，誰都別說誰了，當他們扛不住的時候，一樣做出相同的事情??

格格巫2012 2023-11-15 15:25

發布了也買不到

jiachaofrm 2023-11-15 15:05

C++，java，js，會這幾個基本可以橫著走了

AsukaQua 2023-11-13 08:42

華為云：全靠友商襯托

開源中國閱卷組組長 2023-11-15 14:49

安卓不差，差的是國內的APP太流氓，還有設備質量沒法保證，用久了讀寫性能啥的變差了，就卡了

axiaofang 2023-11-15 16:33

打都打不開，牛逼吹上天

加百列Gabriel 2023-11-03 14:51

大概率是個一點技術都不懂的HR, 一點都不明白開源是什么, linus在他眼里估計也瞧不上

foobra 2023-11-08 11:58

不錯，重新定義了《可能》《實際體驗》

治治熊虛偽 2023-11-15 14:39

這就離譜，敢于承認錯誤就行了。。。然后接著犯？

taolive 2023-11-01 07:16

后面出的都太厚了，沒購買欲了

西迷島主 2023-11-14 09:12

好煩這個評論功能，動不動就敏感詞，直接倒閉好了

七合一的那只小金剛 2023-11-15 16:30

實際體驗跟gpt差距極大，百度也不要搞了，反正也是浪費。

TPM-osc_73581235 2023-11-06 17:38

哪里有銀行公告說我們升級替換數據庫的，公告不都是業務系統升級嗎？這年頭開源技術論壇也來造謠一張嘴辟謠跑斷腿啊

屮殖 2023-11-15 14:44

這家公司為N廠帶來了多少利潤??！居然N廠一點都不支持一下？真是刀法傳神卻又傲慢之極！我們看好了，這家公司我們一定會見證他“眼見他起高樓，眼見他樓塌了”。

屮殖 2023-11-15 14:46

預算花不掉，想辦法花花而已。玩意搞出來啥，KPI不就有了嗎？如果損失了，那也是不是自己的。

一碼Yma 2023-11-15 16:41

我對這個搖一搖廣告并不反感,反正跳那個APP就刪除那個APP,很快就不跳了,原來投這種廣告的就淘寶,拼多多和京東,刪了就不跳了,但是天貓居然沒有投這種廣告,所以還活在我的手機在

AlanWake 2023-11-15 15:19

設計這種東西的人活著有什么意思?

-SORA- 2023-11-03 22:32

國外技術團隊都在致力于豐富web生態，而國內只會抱怨《還是喜歡原來的前端, 現在前端搞的太復雜了》。

平波 2023-11-15 16:25

果子,一感到威脅,立馬來一個殺手锏!

yong230 2023-11-15 15:20

直接用go或rust 一步到位

houj2 2023-11-15 16:22

大廠都應該這樣干，對于需求清晰明確，測試驗證方便的問題，不要自己搞，直接懸賞，這是最高效的方式。

風沐流螢 2023-11-01 10:28

夸克剛出的時候還很簡潔好用，后來就是廣告加會員加一堆用不上的臃腫功能，現在又是搞澀，簡直和當年的UC一模一樣，估計下一步就是震驚部了。

高級打野 2023-11-15 15:17

lj

asdfghjkl12345678 2023-11-05 00:16

這又是哪個關系戶引進的？

swingcoder 2023-11-15 16:41

AI自動化測試能發現這種問題嗎？

屮殖 2023-11-07 15:40

防御性注冊而已。一幫不搞技術只能搞點web搞點應用搞點服務的所謂碼農，連真正的搞核心技術的軟件工程師都算不上的，不知道在高潮啥？劣幣驅逐良幣的地方，評論區沒有干貨，只有噴子。

?OSCHINA(OSChina.NET)

工信部

開源軟件推進聯盟

指定官方社區

社區規范

深圳市奧思網絡科技有限公司版權所有

粵ICP備12009483號

頂部

一本久久综合亚洲鲁鲁五月天,无翼乌口工全彩无遮挡H全彩,英语老师解开裙子坐我腿中间