0day速修!禅道研发项目管理系统命令注入漏洞
2023-1-6 19:19:5 Author: 微步在线研究响应中心(查看原文) 阅读量:132 收藏

01 漏洞概况 

近日,微步在线通过“X漏洞奖励计划”获取到禅道研发项目管理系统命令注入漏洞的0day相关漏洞情报,攻击者可以通过利用权限绕过结合后台命令执行,导致系统被攻击与控制。
禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理。
自查检测:

此次受影响版本如下

禅道项目管理系统

是否受影响

17.4<=version<=18.0.beta1(开源版)

3.4<=version<=4.0.beta1(旗舰版)

7.4<=version<=8.0.beta1(企业版)

02 漏洞评估 

公开程度:PoC未公开
利用条件:无权限要求
交互要求:0-click
漏洞危害:高危、命令执行、权限绕过
影响范围:项目管理系统

03 修复方案 

1、升级开源版到18.0.beta2及以上,升级企业版到8.0.bate2及以上,升级旗舰版到4.0bate2及以上。官网获取对应版本并进行升级。

下载地址: https://www.zentao.net/download.html 

升级文档: https://www.zentao.net/book/zentaoprohelp/41.html

2、微步在线TDP已支持该漏洞检测,对应规则ID为:3100030177、3100030178、3100030180、3100030182

3、微步在线X企业版已支持相关漏洞检测:

04 时间线 

2022.08 微步“X漏洞奖励计划”获取该漏洞相关情报
2022.09 漏洞分析与研究
2022.10 TDP支持检测
2022.12 厂商发布补丁
2023.01 X企业版支持检测
2023.01 微步情报局发布漏洞通告

点击下方名片,关注我们

第一时间为您推送最新威胁情报


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247498986&idx=1&sn=895cc6b718ee6b3866d44736eded4f87&chksm=cfca9ffef8bd16e8bde06367034b921c34f43440559202b17ca9b8ce8e0052613fa9fbf255c5#rd
如有侵权请联系:admin#unsafe.sh