首頁 > 安全研究 > 安全通報 > 安全通告

CNVD-C-2020-121325 | 禪道文件上傳漏洞通告

發布時間 2020-10-27

0x00 漏洞概述

CNVD   ID

CNVD-C-2020-121325

時    間

2020-10-27

類    型

文件上傳

等    級

高危

遠程利用

影響范圍

禪道開源版

12.3.3、12.4.1、12.4.2

 

禪道是第一款國產的開源項目管理軟件,其使用zentaophp框架開發,內置了測試管理、計劃管理、發布管理、文檔管理、事務管理等產品管理和項目管理功能,并為每一個頁面提供json接口的api,方便與其它語言調用交互。內置多語言、多風格、搜索功能、統計功能等多種實用功能。

0x01 漏洞詳情

image.png

 

2020年10月14日,禪道官網發布安全公告,禪道開源項目管理軟件中存在一個文件上傳漏洞(CNVD-C-2020-121325)。攻擊者可以通過fopen/fread/fwrite方法結合File、FTP等協議讀取或上傳任意文件。成功利用此漏洞的攻擊者可獲得目標系統敏感文件及系統管理權限。

 

0x02 處置建議

目前禪道官網已經發布了安全版本,建議及時更新至12.4.3。

下載地址:

https://www.zentao.net/download/zentaopms12.4.3-80272.html

 

0x03 參考鏈接

https://www.zentao.net/dynamic/zentaopms12.4.3-80272.html

https://www.zentao.net


0x04 時間線

2020-10-16  禪道發布安全公告

2020-10-27  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

 

image.png 

 


 

 

上一篇 下一篇