漏洞概述 | |||
漏洞名称 | 禅道项目管理系统身份认证绕过漏洞 | ||
漏洞编号 | QVD-2024-15263 | ||
公开时间 | 2024-04-12 | 影响量级 | 万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.2 |
威胁类型 | 身份认证绕过 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 未公开 |
危害描述:远程攻击者利用该漏洞可以绕过身份认证。 | |||
01 漏洞详情
影响组件
禅道项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,完整覆盖了研发项目管理的核心流程。
漏洞描述
近日,奇安信CERT监测到禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)在互联网上公开。禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器。奇安信CERT分析并复现此漏洞,鉴于该漏洞利用难度较低、影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
16.x <= 禅道项目管理系统< 18.12(开源版)
6.x <= 禅道项目管理系统< 8.12(企业版)
3.x <= 禅道项目管理系统< 4.12(旗舰版)
其他受影响组件
基于禅道二次开发的系统
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263),截图如下:
伪造session
利用伪造的session创建任意用户
04 受影响资产情况
奇安信鹰图资产测绘平台数据显示,禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)关联的国内风险资产总数为24218个,关联IP总数为2719个。国内风险资产分布情况如下:
05 处置建议
安全更新
目前官方已有可更新版本,建议受影响的用户尽快升级至安全版本:
https://www.zentao.net/download/
06 参考资料
[1]https://github.com/easysoft/zentaopms
[2]https://github.com/easysoft/zentaopms/commit/d13ba70016ca981b08f27e08fb934bf1f23a4135
[3]https://github.com/easysoft/zentaopms/commit/695055c6b1d2e6a8c944bdbc38308c06820c40ce
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
