JumpServer存在未授权访问漏洞(CVE-2023-42442) 附POC

news2024/11/18 16:40:33

文章目录

  • JumpServer存在未授权访问漏洞(CVE-2023-42442)CVE-2023-42442 附POC
    • 1. JumpServer简介
    • 2.漏洞描述
    • 3.影响版本
    • 4.fofa查询语句
    • 5.漏洞复现
    • 6.POC&EXP
    • 7.整改意见
    • 8.往期回顾

JumpServer存在未授权访问漏洞(CVE-2023-42442)CVE-2023-42442 附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. JumpServer简介

微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统

2.漏洞描述

Jumpserver是一款开源的堡垒主机和专业的运维安全审计系统,JumpServer存在未授权访问漏洞(CVE-2023-42442):未经身份验证的远程攻击者利用该漏洞可以访获取敏感信息。

CVE编号:CVE-2023-42442

CNNVD编号:CNNVD-202309-1115

CNVD编号:

3.影响版本

3.0.0 <= JumpServer <= 3.5.4
3.6.0 <= JumpServer <= 3.6.3

JumpServer存在未授权访问漏洞(CVE-2023-42442)CVE-2023-42442 附POC

4.fofa查询语句

app=“JumpServer”

5.漏洞复现

漏洞链接:https://127.0.0.1/api/v1/terminal/sessions/

漏洞数据包:

GET /api/v1/terminal/sessions/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

JumpServer存在未授权访问漏洞(CVE-2023-42442)CVE-2023-42442 附POC

6.POC&EXP

关注公众号 南风漏洞复现文库 并回复 漏洞复现50 即可获得该POC工具下载地址:
JumpServer存在未授权访问漏洞(CVE-2023-42442)CVE-2023-42442 附POC

7.整改意见

1)目前官方已有可更新版本,建议受影响用户升级至:JumpServer >= v3.5.5;JumpServer >= v3.6.4

8.往期回顾

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1032443.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[补题记录] Atcoder Beginner Contest 300(E)

URL&#xff1a;https://atcoder.jp/contests/abc300 目录 E Problem/题意 Thought/思路 Code/代码 E Problem/题意 给一个 N&#xff0c;然后投色子&#xff0c;筛到每个数&#xff08;即 1 - 6&#xff09;的概率均等&#xff0c;把所筛到的数一个个相乘&#xff0c;直…

SSRF攻击(服务端请求伪造)

1.SSRF(服务端请求伪造)原理 概念&#xff1a;是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下&#xff0c;SSRF是要目标网站的内部系统。&#xff08;因为他是从内部系统访问的&#xff0c;所有可以通过它攻击外网无法访问的内部系统&#xff0c;也就是把目…

CTF学习路线!最详细没有之一!(建议收藏)

一、CTF入门 最近很多朋友在后台私信我&#xff0c;问应该怎么入门CTF。 个人认为入门CTF之前大家应该先了解到底什么是CTF&#xff0c;而你学CTF的目的又到底是什么; 其次便是最好具备相应的编程能力&#xff0c;若是完全不具备这些能力极有可能直接被劝退。 毕竟比赛的时…

百望云获评ITShare数智未来创新峰会“年度数字化优秀服务商”大奖

近日&#xff0c;百望云应邀出席“新能源-新制造暨汽车数智未来创新峰会”&#xff0c;凭借在数字化领域优秀的服务能力和丰富的落地成果&#xff0c;成功获评“年度数字化优秀服务商”&#xff0c;这也是市场对百望云在赋能企业数字化转型和产品创新领域的再度认可&#xff01…

微信小程序之项目基本结构、页面的基础及宿主环境

文章目录 前言一、基本组成结构基本组成小程序页面的组成部分JSON配置文件作用 二、页面基础pagesWXML和HTML的区别WXSS和CSS的区别小程序中js文件分类 三、小程序宿主环境总结 前言 微信小程序的项目基本结构、页面的基础及宿主环境 一、基本组成结构 基本组成 新建一个微信…

在“百模大战”重生,搜索引擎又行了?

文丨智能相对论 作者丨沈浪 “我想让人们知道&#xff0c;是我们&#xff08;微软&#xff09;让他们&#xff08;谷歌&#xff09;‘跳舞’。” 当加入ChatGPT功能的新一代Bing上线&#xff0c;微软CEO纳德拉就已经按耐不住向谷歌发起了挑战。他认为加入新一代人工智能对搜…

Qt核心:元对象系统、属性系统、对象树、信号槽

一、元对象系统 1、Qt 的元对象系统提供的功能有&#xff1a;对象间通信的信号和槽机制、运行时类型信息和动态属性系统等。 2、元对象系统是 Qt 对原有的 C进行的一些扩展&#xff0c;主要是为实现信号和槽机制而引入的&#xff0c; 信号和槽机制是 Qt 的核心特征。 3、要使…

摩尔信使MThings实用功能盘点

“冗长的用户手册”与“精简的交互设计”之间势必产生一条信息鸿沟&#xff0c;现在就来盘点一下摩尔信使MThings有哪些隐蔽而实用的功能。 01 数据配置类 一键刷新 功能&#xff1a;快速读取所有位数据、寄存器数据的当前数值。 操作&#xff1a;双击“数值”列表头。 一键…

【MySQL】 MySQL的增删改查(进阶)--贰

文章目录 &#x1f6eb;新增&#x1f6ec;查询&#x1f334;聚合查询&#x1f6a9;聚合函数&#x1f388;GROUP BY子句&#x1f4cc;HAVING &#x1f38b;联合查询⚾内连接⚽外连接&#x1f9ed;自连接&#x1f3c0;子查询&#x1f3a1;合并查询 &#x1f3a8;MySQL的增删改查(…

关于JPA +SpringBoot 遇到的一些问题及解决方法

关于JPA SpringBoot 遇到的一些问题及解决方法 一、JpaRepository相关 1.1 org.springframework.dao.InvalidDataAccessResourceUsageException: Named parameter not bound : id; nested exception is org.hibernate.QueryException: Named parameter not bound : id可以…

MobileViT论文记录

论文原文&#xff1a;https://arxiv.org/abs/2110.02178 源码地址&#xff08;pytorch实现&#xff09;&#xff1a;https://github.com/apple/ml-cvnets 前言 MobileVit是由CNN和Transformer混合架构组成的&#xff0c;它利用了CNN的空间归纳偏置[1]和加速网络收敛的优势&a…

【C++面向对象侯捷】11.组合和继承

文章目录 Composition复合&#xff0c;表示has-aDelegation&#xff08;委托&#xff09;&#xff0c;Composition by referenceInheritance继承&#xff0c;表示 is-a Composition复合&#xff0c;表示has-a Delegation&#xff08;委托&#xff09;&#xff0c;Composition b…

数字IC验证高频面试问题整理—附答案(四)

好久没更新面试题目了&#xff0c;不少同学在后台催更&#xff0c;这不就来了~ 共150道验证高频面试题整理~含答案&#xff08;文末可领取全部题目&#xff09; Q1.illegal_bins和ignore_bins命中分别会怎么样&#xff1f;命中是否会计入覆盖率统计 illegal_bins 表示非法的…

activemq部署

目录 1.下载 2.java环境 3.解压启动 4.访问测试 5.问题记录 5.1.无法启动成功问题 5.2.其他服务器无法访问 1.下载 ActiveMQ 2.java环境 需要注意要求的jdk版本&#xff0c;否则启动不会成功 3.解压启动 tar -zxvf apache-activemq-5.18.2-bin.tar.gz 进入到目录下执行…

MATLAB实现相关性分析

目录 一.基本理论 二.两类相关系数的对比 三.相关系数的假设检验 四.MATLAB的相关操作 五.其他有关的一些列技巧 六.案例展示 七.实战操作 一.基本理论 所谓相关系数&#xff0c;本质上是来衡量两组数据的关系大小——对应呈现函数关心的两种变量&#xff0c;那么我们可以…

“信任危机”?VR数字工厂让你沉浸式漫游在工厂里

网上因为“预制菜”的问题吵的沸沸扬扬&#xff0c;企业工厂说预制菜都是经过精心准备和加工的食物&#xff0c;但是更多人还是不信任预制菜的制作&#xff0c;归根结底还是因为信任危机&#xff0c;如果说有这样一个全新的展示方式&#xff0c;可以将工厂加工环境1:1还原复刻在…

vuex如何安装、报错、安装版本注意事项

npm i vuex报错&#xff0c;为什么呢&#xff1f; 在2022.2.7&#xff0c;Vue3就变成了默认版本&#xff0c; Vue2中&#xff0c;必须要用Vuex的3版本 Vue3中&#xff0c;必须要用Vuex的4版本&#xff0c;否则会报错 npm i vuex 安装的就是4版本 如果我们需要安装3版本&…

Spire.OCR for .NET 1.9.0 Crack

Spire.OCR for .NET 是一个专业的 OCR 库&#xff0c;用于从 JPG、PNG、GIF、BMP 和 TIFF 格式的图像中读取文本。开发人员可以轻松地在 C# 和 VB.NET 的 .NET 应用程序中添加 OCR 功能。它支持常用的图像格式&#xff0c;并提供从图像中​​读取多个字符和字体、粗体和斜体样式…

如何将 JavaScript Excel XLSX 查看器添加到Web应用程序

在 JavaScript 中创建 Excel 查看器可能是一项艰巨的任务&#xff0c;但使用 SpreadJS JavaScript 电子表格&#xff0c;创建过程要简单得多。在本教程博客中&#xff0c;我们将向您展示如何使用 SpreadJS 的强大功能来创建一个查看器&#xff0c;该查看器允许您在 Web 浏览器中…

【AI视野·今日CV 计算机视觉论文速览 第251期】Thu, 21 Sep 2023

AI视野今日CS.CV 计算机视觉论文速览 Thu, 21 Sep 2023 Totally 76 papers &#x1f449;上期速览✈更多精彩请移步主页 Interesting: &#x1f4da;FreeU, Diffusion U-Net提升生成模型的质量。(from 南洋理工) Daily Computer Vision Papers DreamLLM: Synergistic Multi…