JumpServer未授权访问漏洞预警（CVE-2023-42442）

2023-09-19

一、概要

近日，华为云关注到JumpServer官方发布安全公告，披露JumpServer在特定版本中存在一处未授权访问漏洞（CVE-2023-42442）。由于系统权限配置存在缺陷，导致未经过身份验证的攻击者利用漏洞可直接访问目标主机上的文件或敏感信息。目前漏洞POC已公开，风险高。

JumpServer是一款开源堡垒机，也是专业的运维安全审计系统。华为云提醒使用JumpServer的用户及时安排自检并做好安全加固。

参考链接：

https://github.com/jumpserver/jumpserver/security/advisories/GHSA-633x-3f4f-v9rw

https://nvd.nist.gov/vuln/detail/CVE-2023-42442

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

3.0.0 <= JumpServer <= 3.5.4

3.6.0 <= JumpServer <= 3.6.3

安全版本：

JumpServer >= v3.5.5

JumpServer >= v3.6.4

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/jumpserver/jumpserver/tags

注：修复漏洞前请将资料备份，并进行充分测试。