安全通告
禪道項(xiàng)目管理系統(tǒng)身份認(rèn)證繞過
漏洞預(yù)警通報(bào)
發(fā)布日期:2024-6-7
[2024]008號(hào)
漏洞描述
2024年6月5日公司監(jiān)測(cè)到禪道項(xiàng)目管理系統(tǒng)身份認(rèn)證繞過漏洞。禪道是第一款國產(chǎn)的開源項(xiàng)目管理軟件,它的核心管理思想基于敏捷方法 scrum,內(nèi)置了產(chǎn)品管理和項(xiàng)目管理,同時(shí)又根據(jù)國內(nèi)研發(fā)現(xiàn)狀補(bǔ)充了測(cè)試管理、計(jì)劃管理、發(fā)布管理、文檔管理、事務(wù)管理等功能,在一個(gè)軟件中就可以將軟件研發(fā)中的需求、任務(wù)、bug、用例、計(jì)劃、發(fā)布等要素有序地跟蹤管理起來,完整地覆蓋了項(xiàng)目管理的核心流程。禪道項(xiàng)目管理系統(tǒng)存在身份認(rèn)證繞過漏洞,遠(yuǎn)程攻擊者利用該漏洞可以繞過身份認(rèn)證,調(diào)用任意API接口并修改管理員用戶的密碼,并以管理員用戶登錄該系統(tǒng),配合其他漏洞進(jìn)一步利用后,可以實(shí)現(xiàn)完全接管服務(wù)器。
漏洞編號(hào)
DVB-2024-6957
漏洞危害
該漏洞允許未授權(quán)用戶繞過正常認(rèn)證流程,創(chuàng)建管理員賬戶并接管后臺(tái),進(jìn)而可能利用其他后臺(tái)漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,嚴(yán)重威脅系統(tǒng)安全,可能導(dǎo)致數(shù)據(jù)泄露、勒索或更廣泛的網(wǎng)絡(luò)攻擊。
漏洞等級(jí)
嚴(yán)重
影響范圍:
v16.x <= 禪道 < v18.12 (開源版)
v6.x <= 禪道 < v8.12 (企業(yè)版)
v3.x <= 禪道 < v4.12 (旗艦版)
修復(fù)方案
目前該漏洞已在官方最新版本中進(jìn)行了更新修復(fù),請(qǐng)相關(guān)用戶盡快升級(jí)到最新版本。
鏈接如下:
https://www.zentao.net/