芒竹云公告 > 公告详情

【安全通告】禅道项目管理系统远程代码执行漏洞风险通告

发布时间:2023-01-20 19:39:05
尊敬的芒竹云用户,您好!
芒竹云安全运营中心监测到, 禅道官方发布新版本,修复了其禅道项目管理系统存在的远程命令执行漏洞,可造成攻击者利用该漏洞远程执行任意系统命令等危害。
为避免您的业务受影响,芒竹云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
禅道项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理。

据描述,由于禅道项目管理系统存在身份认证绕过漏洞,攻击者可利用该漏洞获取管理员权限。进一步通过配合命令执行漏洞,可造成在服务器上执行任意系统命令等危害。
风险等级
高风险
漏洞风险
攻击者利用该漏洞执行任意系统命令
影响版本
17.4 <= 禅道项目管理系统 <= 18.0.beta1(开源版)
7.4 <= 禅道项目管理系统 <= 8.0.beta1(企业版)
3.4 <= 禅道项目管理系统 <= 4.0.beta1(旗舰版)
安全版本
禅道项目管理系统 >= 18.0.beta2(开源版)
禅道项目管理系统 >= 8.0.bate2(企业版)
禅道项目管理系统 >= 4.0.bate2(旗舰版)
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://www.zentao.net/dynamic/zentaopms18.0.beta2-81935.html
https://www.zentao.net/book/zentaoprohelp/41.html


/template/Home/qcloud/PC/Static