1
漏洞描述
禅道官网发布了12.4.3版本更新公告,修复了一个文件上传的漏洞。恶意攻击者(需要登陆后台的任意用户)可以通过fopen、fread、fwrite方法结合file、http、ftp等协议,读取或上传任意敏感文件,成功利用漏洞可获得目标系统的敏感文件及系统管理权限。
腾讯安全专家建议受影响的用户尽快升级到安全版本,目前有关该漏洞的技术细节尚未公开。
ZenTaoPMS(ZenTao Project Management System),集产品管理、项目管理、测试管理于一身,同时包含事务管理、组织管理等诸多功能,是中小型企业项目管理工具。ZenTaoPMS基于自主研发的PHP开发框架——禅道PHP框架开发而成。通过这套框架,企业或者第三方的开发者可以非常方便、灵活的对禅道进行功能的修改或者扩展。ZenTaoPMS基于LGPL协议,企业或者个人都可以免费获取禅道项目管理软件的源代码并安装使用,并可以结合自己的实际需要进行修改。
2
漏洞编号
CNVD-C-2020-121325
3漏洞等级
高危
4
受影响的版本
禅道开源版<=12.4.2
5
安全版本
禅道开源版12.4.3
6
腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,神道项目管理软件主要是中国大陆用户在使用(占比超过96%),浙江、广东、北京、上海四省市用户超过70%。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 [email protected] 了解产品详情。
7
漏洞验证复现
腾讯安全专家对该漏洞进行验证复现,结果表明攻击者利用漏洞可以执行任意代码,获取服务器信息。
1.攻击者访问精心构造的恶意URL
2.访问之后在服务器上写入木马文件,执行任意代码(此处为写入phpinfo())
8
腾讯安全解决方案
腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-26之后的版本,已支持对禅道开源版文件上传漏洞(CNVD-C-2020-121325)进行检测。
关于腾讯T-Sec主机安全(云镜)的更多信息,可长按识别以下二维码查阅。
参考链接
https://www.zentao.net
https://www.zentao.net/download/zentaopms12.4.3-80272.html
插播一条招聘广告(长期)
腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到[email protected],诚邀加盟!
本文始发于微信公众号(腾讯安全威胁情报中心):禅道开源版文件上传漏洞风险通告,腾讯主机安全(云镜)支持检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论