2025 年 3 月 31 日,JumpServer 开源项目组发布 CVE 编号为 “CVE-2025-27095” 的漏洞通知及修复方案。
漏洞介绍:
JumpServer用户在连接Kubernetes资产时,可能存在Kubernetes认证信息泄漏的风险,CVE编号为CVE-2025-27095。
漏洞详情:https://github.com/jumpserver/jumpserver/security/advisories/GHSA-5q9w-f4wh-f535。
以上漏洞影响版本为:
- JumpServer v3版本:<=v3.10.17版本
- JumpServer v4版本:v4.0.0-v4.6.0版本
安全版本为:
- JumpServer v3版本>=v3.10.18版本
- JumpServer v4版本>=v4.7.0版本
修复方案
- 永久修复方案:升级JumpServer软件至上述安全版本。
- 临时修复方案:取消所有用户的Kubernetes资产授权。
请用户尽快将 JumpServer 升级至 v3.10.18 及以后的版本,或者 v4.7.0 及以后的版本。