禅道研发项目管理系统命令注入漏洞

一、漏洞概述

近日,绿盟科技CERT监测到网上公开披露了一个禅道研发项目管理系统命令注入漏洞。未经身份验证的攻击者利用权限绕过漏洞进入后台,之后通过命令注入漏洞在目标系统上实现任意执行代码,请相关用户尽快采取措施进行防护。

禅道是一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体,是一款专业的研发项目管理软件,完整覆盖了研发项目管理的核心流程。

参考链接:

https://www.zentao.net/index.html

二、影响范围

受影响版本

  • v4<= 禅道 <= v18.0.beta1(开源版)
  • v4<= 禅道 <= v4.0.beta1(旗舰版)
  • v4<= 禅道 <= v8.0.beta1(企业版)

 

不受影响版本

  • 禅道> v0.beta1(开源版)
  • 禅道> v0.beta1(旗舰版)
  • 禅道> v0.beta1(企业版)

三、漏洞防护

  • 官方升级

目前官方已发布新版本修复此漏洞,建议受影响的用户及时安装防护:

版本 下载链接
开源版 https://www.zentao.net/dynamic/zentaopms18.0.beta3-81964.html
旗舰版 https://www.zentao.net/dynamic/max4.0.beta3-81966.html
企业版 https://www.zentao.net/dynamic/zentaopms.biz8.0.beta3-81965.html

参考文档:https://www.zentao.net/book/zentaoprohelp/41.html

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author