漏洞公告
近日,安恒信息CERT监测到禅道研发项目管理系统存在系统命令注入漏洞。攻击者可通过利用权限绕过结合后台命令执行来利用此漏洞,从而导致执行任意代码。此漏洞影响范围广泛,目前漏洞细节已公开,建议受影响的用户尽快采取安全措施。
参考链接:
https://www.zentao.net/dynamic/zentaopms18.0.beta2-81935.html
一
影响范围
受影响版本:
16.0<=version<=18.0.beta1(开源版)
2.4<=version<=4.0.beta1(旗舰版)
6.0<=version<=8.0.beta1(企业版)
安全版本:
version >= 18.0.beta2(开源版)
version >= 4.0.beta2(旗舰版)
version >= 8.0.beta2(企业版)
二
漏洞描述
禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理。
禅道研发项目管理系统命令注入漏洞:攻击者可通过利用权限绕过结合后台命令执行来利用此漏洞,从而导致执行任意代码。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 是 | 未公开 | 未公开 | 未发现 |
三
缓解措施
高危:目前漏洞细节已公开,官方已发布新版本修复了此漏洞,建议受影响用户及时升级到安全版本。
1、升级开源版到18.0.beta2及以上,升级企业版到8.0.bate2及以上,升级旗舰版到4.0bate2及以上。
下载链接:
https://www.zentao.net/download.html
升级文档:
https://www.zentao.net/book/zentaoprohelp/41.html
四
产品防护措施
1、AiLPHA大数据平台&AXDR平台
AiLPHA大数据平台&AXDR平台的流量探针(AiNTA)在第一时间加入了对该漏洞的检测规则,请将规则包升级到1.1.969版本(AiNTA-v1.2.4_release_ruletag_1.1.969-202301130730)及以上版本。
规则编号:93010493
AiLPHA安全中心地址:
https://ailpha.dbappsecurity.com.cn/index.html#/login
2、明御Web应用防火墙
明御Web应用防火墙已默认支持对禅道项目管理系统命令注入漏洞的防护。
3、玄武盾websaas
玄武盾websaas目前已经集成了禅道项目管理系统命令注入漏洞的扫描和防护能力。
安恒信息CERT
2023年1月
原文始发于微信公众号(安恒信息CERT):禅道研发项目管理系统命令注入漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论