未然公告丨禅道项目管理系统RCE 0day漏洞公告

admin 2023年1月15日22:48:03安全漏洞评论37 views782字阅读2分36秒阅读模式

事件概述

禅道项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理,任务管理等功能,实现了软件的完整生命周期管理。网站使用数量超10w+。

华为未然实验室于2022年11月07日发现禅道前台RCE 0day漏洞,并于2022年11月17日报送CNNVD(国家信息安全漏洞库),该漏洞可实现禅道CMS前台无条件RCE,攻击者可以通过权限绕过和命令注入的组合漏洞利用形式,获得该系统权限。该漏洞影响版本较广。


目前,禅道官方于2022年12月29日推出补丁修改该漏洞,目前已有公开技术细节,并可能存在相关攻击。

攻击者可以通过禅道CMS鉴权不当的问题伪造session,在伪造session后可以通过创建gitlab仓库后将其更新成SVN仓库的方式进行恶意命令的注入,达到禅道CMS前台远程命令执行的效果。

 未然公告丨禅道项目管理系统RCE 0day漏洞公告攻击截图


漏洞评估

公开程度:PoC未公开

利用条件:无权限要求

交互要求:0-click

漏洞危害:高危、命令执行、权限绕过

影响范围:项目管理系统


受影响版本:

未然公告丨“禅道”项目管理系统RCE 0day漏洞公告



未然建议

1、升级开源版到18.0.beta2及以上,升级企业版到8.0.bate2及以上,升级旗舰版到4.0bate2及以上。官网获取对应版本并进行升级。

下载地址: 

https://www.zentao.net/download.html

升级文档:

https://www.zentao.net/book/zentaoprohelp/41.html


2、华为安全根据EXP已经制定了IPS规则并发布,建议客户升级进行防护。目前最新IPS签名库已推送到升级网站:

未然公告丨“禅道”项目管理系统RCE 0day漏洞公告



未然公告丨禅道项目管理系统RCE 0day漏洞公告

往期推荐

未然公告丨禅道项目管理系统RCE 0day漏洞公告


未然公告丨禅道项目管理系统RCE 0day漏洞公告

未然公告丨某医疗集团勒索病毒入侵事件应急响应回顾


未然公告丨“禅道”项目管理系统RCE 0day漏洞公告

未然公告丨某流行企业财务软件用户被批量勒索事件分析


未然公告丨“禅道”项目管理系统RCE 0day漏洞公告

未然公告丨Dirty Pipe - linux内核提权漏洞分析


未然公告丨“禅道”项目管理系统RCE 0day漏洞公告

原文始发于微信公众号(华为安全):未然公告丨“禅道”项目管理系统RCE 0day漏洞公告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月15日22:48:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  未然公告丨禅道项目管理系统RCE 0day漏洞公告 http://cn-sec.com/archives/1518348.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: