Jumpserver Jinja2 模版注入致远程代码执行漏洞

日期: 2024-03-30 | 影响软件: Jumpserver | POC: 否

漏洞描述

JumpServer 是一款开源的堡垒主机和运维安全审计系统。攻击者可以利用 JumpServer 的 Ansible 中的 Jinja2 模板注入漏洞,在 Celery 容器中执行任意代码。由于 Celery 容器以 root 权限运行并具有数据库访问权限,攻击者可能从所有主机中窃取敏感信息或操纵数据库。这个漏洞在 v3.10.7 版本中已经被修复。

PoC代码

暂无

相关漏洞推荐