0x01 Введение в уязвимость
Уязвимость в удаленном выполнении команд системы управления проектами ZenTao. ZenTao — первое отечественное программное обеспечение для управления проектами с открытым исходным кодом. Его основная идея управления основана на гибком методе scrum со встроенным управлением продуктами и проектами. он дополняет тестирование в соответствии с внутренним статусом исследований и разработок. Управление, управление планами, управление выпусками, управление документами, управление транзакциями и другие функции в одном программном обеспечении, требования, задачи, ошибки, варианты использования, планы, выпуски и другие элементы в программном обеспечении. разработка может отслеживаться и управляться упорядоченным образом, полностью охватывая основной процесс управления проектами.
10 января 2023 года была обнаружена уязвимость удаленного выполнения команд в компонентах системы управления проектами ZenTao, распространенная в Интернете.Уровень угрозы уязвимости: серьезный.Эта уязвимость может быть использована для обхода разрешений и уязвимостей SQL-инъекций без авторизации, и, наконец, выполнять произвольные команды на сервере.
0x02 диапазон влияния
17.4 ≤ Зентао (Дзен Дао) ≤ 18.0.beta1 (версия с открытым исходным кодом)
3.4 ≤ Зентао (Дзен Дао) ≤ 4.0.beta1 (Окончательное издание)
7.4 ≤ Зентао (Дзен Дао) ≤ 8.0.beta1 (Корпоративная версия)
Тип уязвимости:
удаленное выполнение команды
Условия использования:
1. Аутентификация пользователя: не требуется
2. Условие: неизвестно
3. Режим запуска: удаленный
Обзор:
<Комплексная оценка сложности использования>: Неизвестно.
<Уровень угрозы комплексной оценки>: серьезный, может привести к удаленному выполнению команды.
0x03 решение
Как определить версию системы компонента
После входа в систему управления проектами ZenTao нажмите «О ZenTao», чтобы просмотреть версию системы.
В настоящее время последняя версия официально выпущена, и пострадавшим пользователям рекомендуется своевременно обновлять и обновлять ее до последней версии. Ссылка выглядит следующим образом:
https://www.zentao.net/download.html
Ссылка на ссылку: https://www.zentao.net/dynamic/zentaopms18.0.beta2-81935.html