Уязвимость удаленного выполнения команд в системе управления проектами ZenTao

информация 2023-08-16 01:31:50 Время чтения: null

0x01 Введение в уязвимость

Уязвимость в удаленном выполнении команд системы управления проектами ZenTao. ZenTao — первое отечественное программное обеспечение для управления проектами с открытым исходным кодом. Его основная идея управления основана на гибком методе scrum со встроенным управлением продуктами и проектами. он дополняет тестирование в соответствии с внутренним статусом исследований и разработок. Управление, управление планами, управление выпусками, управление документами, управление транзакциями и другие функции в одном программном обеспечении, требования, задачи, ошибки, варианты использования, планы, выпуски и другие элементы в программном обеспечении. разработка может отслеживаться и управляться упорядоченным образом, полностью охватывая основной процесс управления проектами.

10 января 2023 года была обнаружена уязвимость удаленного выполнения команд в компонентах системы управления проектами ZenTao, распространенная в Интернете.Уровень угрозы уязвимости: серьезный.Эта уязвимость может быть использована для обхода разрешений и уязвимостей SQL-инъекций без авторизации, и, наконец, выполнять произвольные команды на сервере.

0x02 диапазон влияния

17.4 ≤ Зентао (Дзен Дао) ≤ 18.0.beta1 (версия с открытым исходным кодом)

3.4 ≤ Зентао (Дзен Дао) ≤ 4.0.beta1 (Окончательное издание)

7.4 ≤ Зентао (Дзен Дао) ≤ 8.0.beta1 (Корпоративная версия)

Тип уязвимости:

удаленное выполнение команды

Условия использования:

1. Аутентификация пользователя: не требуется

2. Условие: неизвестно

3. Режим запуска: удаленный

Обзор:

<Комплексная оценка сложности использования>: Неизвестно.

<Уровень угрозы комплексной оценки>: серьезный, может привести к удаленному выполнению команды.

0x03 решение

Как определить версию системы компонента

После входа в систему управления проектами ZenTao нажмите «О ZenTao», чтобы просмотреть версию системы.

В настоящее время последняя версия официально выпущена, и пострадавшим пользователям рекомендуется своевременно обновлять и обновлять ее до последней версии. Ссылка выглядит следующим образом:

https://www.zentao.net/download.html

Ссылка на ссылку: https://www.zentao.net/dynamic/zentaopms18.0.beta2-81935.html

рекомендация

отblog.csdn.net/qq_18209847/article/details/128659192
рекомендация
ранжирование
11_Введение в использование тестовой среды TestNG
Фильтр и собирать вложенные элементы коллекции с использованием Java 8 потока
〖Руководство по Docker・Ⓓ¹〗Быстрый старт|Установка|Ускорение|hello-world
leetcode-середине динамического программирования-55. Перейти игры
Как ChatGPT помогает предприятиям повысить эффективность и производительность? объясни все это
Установка и использование Zookeeper
5519: [Usaco2016 Открыть] Ландшафтный
Решите проблему, из-за которой указанный файл chrome не может быть найден, когда идея запускает Tomcat.
Реализация алгоритма сопоставления строк KMP (C ++)
Знание фильтра Калмана
файл
более
2024-07-25(0)
2024-07-24(0)
2024-07-23(0)
2024-07-22(0)
2024-07-21(0)
2024-07-20(0)
2024-07-19(0)
2024-07-18(0)
2024-07-17(0)
2024-07-16(0)

Код мира

© 2018 codetd.com