2025年3月,有用户反馈发现JumpServer开源堡垒机存在安全漏洞,并向JumpServer开源项目组进行上报。此次发现的漏洞为:
■ JumpServer用户在连接Kubernetes资产时,可能存在Kubernetes认证信息泄漏的风险,CVE编号为CVE-2025-27095。漏洞详情:https://github.com/jumpserver/jumpserver/security/advisories/GHSA-5q9w-f4wh-f535。
以上漏洞影响版本为:
JumpServer v3版本:<=v3.10.17版本
JumpServer v4版本:v4.0.0-v4.6.0版本
安全版本为:
JumpServer v3版本>=v3.10.18版本
JumpServer v4版本>=v4.7.0版本
修复方案
■ 永久修复方案:升级JumpServer软件至上述安全版本。
■ 临时修复方案:取消所有用户的Kubernetes资产授权。
特别鸣谢
感谢以下社区用户向JumpServer开源社区及时反馈上述漏洞。
■ CVE-2025-27095: @paraddise