漏洞描述

JumpServer是一款開源堡壘主機和運維安全審計系統。在JumpServer v3.10.20-lts及v4.10.11-lts之前的版本中，經過身份驗證的非特權用戶可以通過超級連接API端點（/api/v1/authentication/super-connection-token/）檢索到其他用戶的連接令牌。當通過Web瀏覽器訪問此端點時，它會返回所有用戶創建的連接令牌，而不是將結果限制為請求者擁有或授權的令牌。攻擊者獲得這些令牌后，可以代表原始令牌所有者連接到管理的資產，從而導致敏感系統的未經授權訪問和權限提升。

受影響版本：

• JumpServer < v3.10.20-lts
• JumpServer < v4.10.11-lts

復現分析

(1) 環境搭建

使用官方提供快速搭建腳本，修改為受漏洞影響的版本（例如v3.6.1），運行腳本會自動拉取鏡像，環境搭建好后可以正常訪問。

參考：https://github.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh

(2) 復現步驟

直接訪問包含漏洞的接口/api/v1/authentication/super-connection-token/時，會響應401。

登錄管理員登錄后臺后，先創建一個普通用戶lele。

使用新創建的普通用戶登錄時，獲取相關的Cookie后再訪問包含漏洞的接口/api/v1/authentication/super-connection-token/即可獲取到所有用戶創建的連接令牌。

修復建議

官方已發布安全補丁，請及時更新至最新版本：

• JumpServer >= v3.10.20-lts
• JumpServer >= v4.10.11-lts

下載地址：https://community.fit2cloud.com/#/products/jumpserver/downloads

臨時修復方案：修改 Nginx 配置以阻止對超級連接 API 的 GET 請求

location = /api/v1/authentication/super-connection-token/ {    if ($request_method = GET) { return 405; }  # Block GET explicitly    proxy_pass http://jumpserver_backend;}location = /api/v1/resources/super-connection-tokens/ {    if ($request_method = GET) { return 405; }  # Block GET explicitly    proxy_pass http://jumpserver_backend;}