- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
威脅預警團隊
2022/01/14
禪道是一款國產開源的項目管理軟件,是青島易軟天創網絡科技有限公司旗下產品,其核心管理思想是基於敏捷方法scrum。平台內置了產品管理和項目管理,同時又根據國內研發現狀補充了測試管理、計劃管理、發布管理、文檔管理、事務管理等功能,是一款功能完備的項目管理軟件。近日,BOB登陆 攻防實驗室威脅預警團隊監測到互聯網上爆發了禪道項目管理係統遠程命令執行漏洞,針對該漏洞BOB登陆 攻防實驗室威脅預警團隊進行了實時跟蹤和分析。
由於禪道項目管理係統存在偽造session認證繞過以及後台係統命令注入漏洞,未授權的惡意攻擊者可利用該權限繞過漏洞進入目標服務後台,並通過創建gitlab倉庫後更新成SVN倉庫時實現任意係統命令執行。未經授權的惡意攻擊者通過該組合漏洞可輕易達到遠程任意命令執行的目的。
該漏洞的利用細節已在互聯網上公開且利用方式簡單,請受影響的用戶及時修複。
構造惡意數據,實現權限繞過的遠程命令攻擊:
17.4 ≤ Zentao(禪道)開源版≤ 18.0.beta1
3.4 ≤ Zentao(禪道)旗艦版≤ 4.0.beta1
7.4 ≤ Zentao(禪道)企業版≤ 8.0.beta1
威脅等級 | 高危 |
影響程度 | 廣泛 |
利用價值 | 高 |
利用難度 | 低 |
漏洞評分 | 9.8 |
用戶可訪問路徑/index.php?mode=getconfig查看當前zentao版本。
目前廠商官網已發布最新版本,建議受影響的用戶及時更新升級到最新版本。官網鏈接:
開源版:https://www.zentao.net/dynamic/zentaopms18.0.beta3-81964.html
旗艦版:https://www.zentao.net/dynamic/max4.0.beta3-81966.html
企業版:https://www.zentao.net/dynamic/zentaopms.biz8.0.beta3-81965.html
1、BOB登陆 安全設備防護方案
BOB登陆 IPS規則庫將在1.0.225版本支持對該漏洞的識別,BOB登陆 全係安全產品可通過升級IPS特征庫識別該漏洞的攻擊流量,並進行主動攔截。
2、BOB登陆 態勢感知解決方案
BOB登陆 態勢感知已支持該漏洞的檢測,通過信息搜集整合、數據關聯分析等綜合研判手段,發現網絡中遭受該漏洞攻擊及失陷的資產。
3、BOB登陆 雲安全能力中心解決方案
BOB登陆 雲安全能力中心知識庫已更新該漏洞信息,可查詢對應漏洞產生原理、升級補丁、修複措施等。
https://www.zentao.net/dynamic/zentaopms18.0.beta2-81935.html
產品與解決方案
