JumpServer — это хост-бастион с открытым исходным кодом и система аудита безопасности эксплуатации и обслуживания. До версии 4.10.16-lts JumpServer неправильно проверяет сертификаты в клиенте Custom SMS API. Когда JumpServer отправляет коды MFA/OTP через Custom SMS API, злоумышленник может перехватить запрос и перехватить код подтверждения ДО того, как он достигнет телефона пользователя.
Эта уязвимость исправлена в версии 4.10.16-lts.
Показать оригинальное описание (EN)
JumpServer is an open source bastion host and an operation and maintenance security audit system. Prior to v4.10.16-lts, JumpServer improperly validates certificates in the Custom SMS API Client. When JumpServer sends MFA/OTP codes via Custom SMS API, an attacker can intercept the request and capture the verification code BEFORE it reaches the user's phone. This vulnerability is fixed in v4.10.16-lts.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Fit2cloud Jumpserver
cpe:2.3:a:fit2cloud:jumpserver:*:*:*:*:*:*:*:*
|
— |
4.10.16
|