严重
禅道项目管理系统权限绕过漏洞
披露时间:
2024-04-25
更新时间:
2025-02-10
CT 编号
CT-1222946
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
鉴权绕过
漏洞评分
9.8
漏洞描述
禅道项目管理系统存在身份认证绕过漏洞,未经身份认证攻击者可利用该漏洞调用任意API接口并更改任意用户的密码,随后可以以管理员的身份登录该系统,结合未知的认证后远程代码执行漏洞可以完全控制服务器
漏洞危害
未经身份认证攻击者可利用该漏洞调用任意API接口并更改任意用户的密码,随后可以以管理员的身份登录该系统,结合未知的认证后远程代码执行漏洞可以完全控制服务器
检测工具
远程检测工具下载
下载对应操作系统版本的XPOC
执行xpoc -r 422 -t http://xpoc.org即可检测
修复方法
升级修复方案:
官方已发布修复版本,建议受影响的用户尽快升级至安全版本。
下载地址:https://www.zentao.net/download/
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
漏洞披露
2024-04-25
漏洞信息更新
2025-02-10
