禅道研发项目管理系统命令注入漏洞

一、漏洞概述

近日,绿盟科技CERT监测到网上公开披露了一个禅道研发项目管理系统命令注入漏洞。未经身份验证的攻击者利用权限绕过漏洞进入后台,之后通过命令注入漏洞在目标系统上实现任意代码执行,目前PoC已公开,请相关用户尽快采取措施进行防护。

禅道是一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体,是一款专业的研发项目管理软件,完整覆盖了研发项目管理的核心流程。

参考链接:

https://www.zentao.net/index.html

二、影响范围

受影响版本

  • v4<= 禅道 <= v18.0.beta1(开源版)
  • v4<= 禅道 <= v4.0.beta1(旗舰版)
  • v4<= 禅道 <= v8.0.beta1(企业版)

 

不受影响版本

  • 禅道> v0.beta1(开源版)
  • 禅道> v0.beta1(旗舰版)
  • 禅道> v0.beta1(企业版)
  1. 漏洞检测

以开源版禅道为例:

可以在不登录的情况下查看网页源代码:

若已登录,也可以在右下角查看禅道版本:

若版本在影响范围内,则系统有可能受该漏洞影响。

四、攻击排查

1、以Windows举例,用户可通过排查系统中日志是否存在以下内容,若存在,则说明系统可能遭受到攻击:

misc-captcha-user.html

 

2、攻击者可能会使用一个空白用户名来创建一个代码库名为12346的操作,如下图所若存在该操作,则系统可能遭到攻击。

五、漏洞防护

  • 官方升级

目前官方已发布新版本修复此漏洞,建议受影响的用户及时安装防护:

版本 下载链接
开源版 https://www.zentao.net/dynamic/zentaopms18.0.beta3-81964.html
旗舰版 https://www.zentao.net/dynamic/max4.0.beta3-81966.html
企业版 https://www.zentao.net/dynamic/zentaopms.biz8.0.beta3-81965.html

参考文档:https://www.zentao.net/book/zentaoprohelp/41.html

  • 产品防护

针对上述漏洞,绿盟科技WEB 应用防护系统(WAF)已有历史规则可防护。

  • 临时防护措施

若用户暂时无法对产品进行正常升级,可通过设置白名单访问的方式来规避此漏洞。

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author