2024年4月26日,网上更新披露了一个禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263),禅道(ZenTao)项目管理系统是国产开源管理软件,提供整套工具来帮助团队管理整个软件开发生命周期,包括需求管理、迭代计划、任务分配、缺陷跟踪、文档管理和测试用例管理等功能,请各位用户尽快安装漏洞补丁。
漏洞风险:禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器。
风险等级:高风险。
影响范围:
16.x <= 禅道项目管理系统< 18.12(开源版)
6.x <= 禅道项目管理系统< 8.12(企业版)
3.x <= 禅道项目管理系统< 4.12(旗舰版)
修复建议:
目前官方已有可更新版本,建议受影响的用户尽快升级至安全版本
进行安全更新方法:
https://www.zentao.net/download/
