基本信息

平台编号： POC-2023-85782 影响厂商： 青岛易软天创网络科技有限公司 厂商官网： https://www.zentao.net/ 组件分类： 办公/财务系统 漏洞类别： 命令执行 风险等级： 高危 CVSS 3.X： 8.9 是否有POC： 是 CVE 编号： N/A CNVD 编号： N/A EZ 是否支持： EZ 支持扫描 提交时间： 2023-12-25 访问次数： 281

漏洞描述

禅道是第一款国产的开源项目管理软件，它的核心管理思想基于敏捷方法scrum，内置了产品管理和项目管理，同时又根据国内研发现状补充了测试管理、计划管理、发布管理、文档管理、事务管理等功能，在一个软件中就可以将软件研发中的需求、任务、bug、用例、计划、发布等要素有序的跟踪管理起来，完整地覆盖了项目管理的核心流程。禅道项目管理系统存在远程命令执行漏洞，该漏洞源于在认证过程中未正确退出程序，导致了认证绕过，并且后台中有多种执⾏命令的⽅式，攻击者可利用该漏洞在目标服务器上注入任意命令，实现未授权接管服务器。

影响范围

企业版：7.4以下的未知版本<=version<=8.0.beta1开源版：17.4以下的未知版本<=version<=18.0.beta1旗舰版：3.4以下的未知版本<=version<=4.0.beta1

漏洞详情

暂无详情

POC 代码

游客没有权限查看 POC，请登录后查看！

加固建议

升级禅道至最新版:https://www.zentao.net/

参考来源

https://mp.weixin.qq.com/s/xcOvFx2nUDUGkdXqXj0iMw