禅道项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理,任务管理等功能,实现了软件的完整生命周期管理。网站使用数量超10w+。
华为未然实验室于2022年11月07日发现禅道前台RCE 0day漏洞,并于2022年11月17日报送CNNVD(国家信息安全漏洞库),该漏洞可实现禅道CMS前台无条件RCE,攻击者可以通过权限绕过和命令注入的组合漏洞利用形式,获得该系统权限。该漏洞影响版本较广。
目前,禅道官方于2022年12月29日推出补丁修改该漏洞,目前已有公开技术细节,并可能存在相关攻击。
攻击截图
公开程度:PoC未公开
利用条件:无权限要求
交互要求:0-click
漏洞危害:高危、命令执行、权限绕过
影响范围:项目管理系统
受影响版本:
1、升级开源版到18.0.beta2及以上,升级企业版到8.0.bate2及以上,升级旗舰版到4.0bate2及以上。官网获取对应版本并进行升级。
下载地址:
https://www.zentao.net/download.html
升级文档:
https://www.zentao.net/book/zentaoprohelp/41.html
2、华为安全根据EXP已经制定了IPS规则并发布,建议客户升级进行防护。目前最新IPS签名库已推送到升级网站:
往期推荐
未然公告丨某医疗集团勒索病毒入侵事件应急响应回顾
未然公告丨某流行企业财务软件用户被批量勒索事件分析
未然公告丨Dirty Pipe - linux内核提权漏洞分析
原文始发于微信公众号(华为安全):未然公告丨“禅道”项目管理系统RCE 0day漏洞公告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论