JumpServer 任意密码重置漏洞
漏洞描述
JumpServer 是一款开源的堡垒机。
在受影响版本中,由于第三方库django-simple-captcha可以在 API /core/auth/captcha/images/{seed}中设置 random.seed随机种子,导致随机生成的重置密码token存在重放风险。当使用本地认证时,攻击者可以对已知用户名发送重置密码链接,通过重放得到重置密码链接的token(例如https://xxx.com/core/auth/password/reset/?token=v4q1yLMqZ99jxxx),从而修改用户密码,登录对应用户账号。
| 漏洞名称 | JumpServer 任意密码重置漏洞 |
|---|---|
| 漏洞类型 | 输入验证不恰当 |
| 发现时间 | 2023-09-27 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-7u1t-o45e |
| CVE编号 | CVE-2023-42820 |
| CNVD编号 | - |
影响范围
JumpServer@[2.24, 2.28.19)
JumpServer@[3.6.0, 3.6.5)
JumpServer@[3.5.0, 3.5.6)
修复方案
启用MFA或禁用本地身份验证
参考链接
https://www.oscs1024.com/hd/MPS-7u1t-o45e
https://nvd.nist.gov/vuln/detail/CVE-2023-42820
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
JumpServer 目录穿越漏洞
漏洞描述 JumpServer 是一款开源的堡垒机。 在JumpServer受影响版本中,由于在api/playbook.py文件直接使用os.path.join对file参数进行拼接。 攻击者可以构造恶意的file路径(例如:https://jumpserver-ip/api/v1/ops/playbook/e0adabef-c38f-492d-bd92-832bacc3df5f/file/?key=../../../../../../../etc/passwd),读取系统上的任意文件内容。 漏洞名称 JumpServer 目录穿越漏洞 漏洞类型 相对路径遍历 发现时间 2023-09-27 漏洞影响广度 广 MPS编号 MPS-dw07-ztm9 CVE编号 CVE-2023-42819 CNVD编号 - 影响范围 JumpServer@[3.0.0, 3.5.5) 修复方案 将组件 JumpServer 升级至 3.5.5 及以上版本 参考链接 https://www.oscs1024.com/hd/MPS-dw07-ztm9 https://nvd.nist.gov/vuln/...
- 下一篇
每日一博 | 揭秘编码器与解码器语言模型
Transformer架构的问世标志着现代语言大模型时代的开启。自2018年以来,各类语言大模型层出不穷。 通过LLM进化树(github.com/Mooler0410/LLMsPracticalGuide)来看,这些语言模型主要分为三类:一是“仅编码器”,该类语言模型擅长文本理解,因为它们允许信息在文本的两个方向上流动;二是“仅解码器”,该类语言模型擅长文本生成,因为信息只能从文本的左侧向右侧流动,并以自回归方式有效生成新词汇;三“编码器-解码器”组,该类语言模型对上述两种模型进行了结合,用于完成需要理解输入并生成输出的任务,例如翻译。 本文作者Sebastian Raschka对这三类语言模型的工作原理进行了详细解读。他是人工智能平台Lightning AI的LLM研究员,也是《Machine Learning Q and AI》的作者。 (以下内容由OneFlow编译发布,转载请联系授权。原文:https://magazine.sebastianraschka.com/p/understanding-encoder-and-decoder) 来源 | Ahead of AI On...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装Docker,最新的服务器搭配容器使用
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
微信收款码
支付宝收款码