JumpServer ConnectionToken 权限验证不当漏洞(CVE-2025-62712)预警
1、基本情况
JumpServer 开源堡垒机是一款运维安全审计系统产品,提供身份验证、授权控制、账号管理、安全审计等功能支持,帮助企业快速构建运维安全审计能力。
近日,监测发现 JumpServer 官方修复了 JumpServer ConnectionToken 权限验证不当漏洞(CVE-2025-62712),该漏洞源于 JumpServer 的 super-connection-token 接口没有严格的权限验证,而是返回所有用户创建的连接令牌(包括管理员),导致低权限攻击者可获取高权限用户的资产管理权限并执行恶意操作。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ JumpServer < v3.10.20-lts
⚫ JumpServer < v4.10.11-lts
3、处置建议
官方已发布安全补丁,请及时升级至最新版本:
⚫ JumpServer >= v3.10.20-lts
⚫ JumpServer >= v4.10.11-lts
下载地址:https://community.fit2cloud.com/#/products/jumpserver/downloads
4、参考链接
1) https://github.com/jumpserver/jumpserver/security/advisories/GHSA-6ghx-6vpv-3wg7