0day速修!禅道研发项目管理系统命令注入漏洞

admin 2023年1月7日01:12:32安全文章评论156 views806字阅读2分41秒阅读模式

0day速修!禅道研发项目管理系统命令注入漏洞

01 漏洞概况 

近日,微步在线通过“X漏洞奖励计划”获取到禅道研发项目管理系统命令注入漏洞的0day相关漏洞情报,攻击者可以通过利用权限绕过结合后台命令执行,导致系统被攻击与控制。

禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理。

自查检测:

0day速修!禅道研发项目管理系统命令注入漏洞


此次受影响版本如下

禅道项目管理系统

是否受影响

17.4<=version<=18.0.beta1(开源版)

3.4<=version<=4.0.beta1(旗舰版)

7.4<=version<=8.0.beta1(企业版)

02 漏洞评估 


公开程度:PoC未公开

利用条件:无权限要求
交互要求:0-click
漏洞危害:高危、命令执行、权限绕过
影响范围:项目管理系统

03 修复方案 


1、升级开源版到18.0.beta2及以上,升级企业版到8.0.bate2及以上,升级旗舰版到4.0bate2及以上。官网获取对应版本并进行升级。

下载地址: https://www.zentao.net/download.html 

升级文档: https://www.zentao.net/book/zentaoprohelp/41.html


2、微步在线TDP已支持该漏洞检测,对应规则ID为:3100030177、3100030178、3100030180、3100030182


3、微步在线X企业版已支持相关漏洞检测:

0day速修!禅道研发项目管理系统命令注入漏洞

04 时间线 


2022.08 微步“X漏洞奖励计划”获取该漏洞相关情报
2022.09 漏洞分析与研究
2022.10 
TDP支持检测
2022.12 厂商发布补丁
2023.01 X企业版支持检测
2023.01 微步情报局发布漏洞通告


0day速修!禅道研发项目管理系统命令注入漏洞

点击下方名片,关注我们

第一时间为您推送最新威胁情报

原文始发于微信公众号(微步在线研究响应中心):0day速修!禅道研发项目管理系统命令注入漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日01:12:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  0day速修!禅道研发项目管理系统命令注入漏洞 http://cn-sec.com/archives/1504275.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: