安全通告

                                                       关于JumpServer连接令牌安全漏洞的预警通报

                                                                                                      发布日期：2025-10–28

                                                                                                      [2025]011号

漏洞描述

2025年10月28日监测发现，JumpServer 存在与连接令牌相关的安全漏洞，此漏洞可能会造成资产和 LDAP 服务器的非法访问连接。

JumpServer是一款开源的堡垒机系统，用于管理和控制服务器访问权限。它提供了安全的跳板机功能，帮助组织管理和监控用户对服务器的访问，并实现权限分级管理、审计跟踪和会话录像等功能。JumpServer具有易用性和灵活性，支持多种认证方式和可扩展的插件系统，使其成为保障服务器安全和管理的重要工具。

漏洞编号

无。

漏洞危害

JumpServer 存在的安全漏洞聚焦于连接令牌环节，攻击者可能利用该漏洞绕过正常验证机制，非法获取连接令牌，进而对单位名下的资产（如服务器、网络设备等）以及 LDAP 服务器进行未授权访问，可能导致数据泄露、业务中断等严重后果。

漏洞等级

高危
受影响版本

JumpServer V3 版本：版本号≤v3.10.20 LTS

JumpServer V4 版本：版本号≤v4.10.11 LTS

修复方案

目前厂商已发布可更新版本，建议用户尽快更新至 JumpServer 的修复版本或更高的版本：

JumpServer V3 版本：版本号≥v3.10.21 LTS​

JumpServer V4 版本：版本号≥v4.10.12 LTS