JumpServer default admin user email leak password reset 漏洞信息(CVE-2023-46138)

一、漏洞 CVE-2023-46138 基础信息

漏洞标题

JumpServer 默认 admin 用户邮箱泄露密码重置漏洞

来源：AIGC 神龙大模型

漏洞描述信息

## 漏洞概述 JumpServer是一款开源堡垒机和维护安全审计系统，遵循4A规范。在3.8.0版本之前，初始用户admin的默认邮箱是`admin[@]mycompany[.]com`，用户通过发送邮件来重置密码。如果`mycompany.com`未来被注册，可能导致密码重置功能受影响。 ## 影响版本 - 3.8.0版本之前 ## 漏洞细节 - 默认邮箱`admin[@]mycompany[.]com`未注册。 - 如果`mycompany.com`未来被注册，邮件发送可能失败，影响密码重置功能。 - 3.8.0版本中默认邮箱域已更改为`example.com`。 ## 影响 - 可能导致密码重置功能失效。 - 建议升级到3.8.0版本或手动将默认邮箱域更改为`example.com`。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

忘记口令恢复机制弱

来源：AIGC 神龙大模型

漏洞标题

JumpServer default admin user email leak password reset

来源：美国国家漏洞数据库 NVD

漏洞描述信息

JumpServer is an open source bastion host and maintenance security audit system that complies with 4A specifications. Prior to version 3.8.0, the default email for initial user admin is `admin[@]mycompany[.]com`, and users reset their passwords by sending an email. Currently, the domain `mycompany.com` has not been registered. However, if it is registered in the future, it may affect the password reset functionality. This issue has been patched in version 3.8.0 by changing the default email domain to `example.com`. Those who cannot upgrade may change the default email domain to `example.com` manually.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

忘记口令恢复机制弱

来源：美国国家漏洞数据库 NVD

漏洞标题

Jumpserver 授权问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Jumpserver是中国杭州飞致云信息科技有限公司的一款开源堡垒机。 JumpServer 3.8.0之前版本存在授权问题漏洞，该漏洞源于攻击者可以通过发送电子邮件来重置密码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-46138 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-46138 的情报信息

https://github.com/jumpserver/jumpserver/security/advisories/GHSA-9mrc-75cv-46cq x_refsource_CONFIRM
https://github.com/jumpserver/jumpserver/commit/15a5dda9e0cdbe2ac618a6b2a09df8928f485c88 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2023-46138

一、 漏洞 CVE-2023-46138 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-46138 的公开POC

三、漏洞 CVE-2023-46138 的情报信息

一、漏洞 CVE-2023-46138 基础信息