禅道项目管理软件命令注入漏洞

admin 2023年1月11日01:04:35评论159 views字数 588阅读1分57秒阅读模式

漏洞描述:                                       

近日,飓风安全应急团队监测到网上公开披露了一个存在于禅道项目管理软件中的命令注入漏洞,攻击者通过发送精心构造的请求,导致命令注入攻击。

【受影响版本】

  • 17.4 <= Zentao <= 18.0.beta1(开源版)

  • 3.4 <= Zentao <= 4.0.beta1(旗舰版)

  • 7.4 <= Zentao <= 8.0.beta1(企业版

【安全版本】

  • Zentao >= 18.0.beta2(开源版)

  • Zentao >= 4.0.beta2(旗舰版)

  • Zentao >= 8.0.beta2(企业版


禅道项目管理软件命令注入漏洞

禅道项目管理软件 是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理。

禅道项目管理软件命令注入漏洞


影响范围:      

17.4 <= Zentao <= 18.0.beta1(开源版)、 3.4 <= Zentao <= 4.0.beta1(旗舰版)、 7.4 <= Zentao <= 8.0.beta1(企业版)

解决方案    

修复建议            

临时修复建议:

  • 如果目前无法升级,若业务环境允许,使用白名单限制相关端口的访问来降低风险。

通用修复建议:

官方已经针对漏洞发布版本更新,下载地址如下:

  • https://www.zentao.net/download.html


原文始发于微信公众号(飓风网络安全):禅道项目管理软件命令注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月11日01:04:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   禅道项目管理软件命令注入漏洞https://cn-sec.com/archives/1511947.html

发表评论

匿名网友 填写信息