发布日期：2023-09-27
更新日期：2023-10-30

受影响系统：

Jumpserver Jumpserver >= 3.0.0
Jumpserver Jumpserver >= 2.0.0
Jumpserver Jumpserver < 3.7.1
Jumpserver Jumpserver < 2.28.20

描述：

---

CVE(CAN) ID: CVE-2023-43652

Jumpserver是中国杭州飞致云信息科技有限公司的一款开源堡垒机。
JumpServer 2.0.0至2.28.20之前版本和3.0.0至3.7.1之前版本存在授权错误漏洞，攻击者可利用该漏洞使用用户名和SSH公钥对核心API进行身份验证，而无需密码或相应的SSH私钥。

<*链接：https://github.com/jumpserver/jumpserver/security/advisories/GHSA-fr8h-xh5x-r8g9
*>

建议：

---

厂商补丁：

Jumpserver
----------
Jumpserver已经为此发布了一个安全公告（GHSA-fr8h-xh5x-r8g9）以及相应补丁:
GHSA-fr8h-xh5x-r8g9：Non-MFA account takeover via using only SSH public key to login
链接：https://github.com/jumpserver/jumpserver/security/advisories/GHSA-fr8h-xh5x-r8g9

浏览次数：410
严重程度：0（网友投票）