【已复现】禅道项目管理系统远程命令执行漏洞安全风险通告

原创 QAX CERT 奇安信 CERT 2023-01-13 10:32

奇安信CERT

致力于
第一时间
为企业级用户提供安全风险
通告
和
有效
解决方案。

安全通告

禅道项目管理软件是国产的开源项目管理软件，专注研发项目管理，内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能，完整覆盖了研发项目管理的核心流程。

近日，奇安信CERT监测到互联网上公开禅道项目管理系统远程命令执行漏洞技术细节，未经授权的远程攻击者可利用身份认证绕过漏洞获取系统管理员权限，进一步组合后台命令执行漏洞最终可在目标服务器上注入任意命令，实现未授权接管服务器。目前，此漏洞技术细节已公开，奇安信CERT第一时间分析并复现此漏洞，经研判，此漏洞利用难度较低，远程攻击者可未授权接管服务器。鉴于此漏洞影响较大，建议客户尽快做好自查及防护。

---

漏洞名称	禅道项目管理系统远程命令执行漏洞
公开时间	2023-01-06	更新时间	2023-01-13
CVE编号	暂无	其他编号	QVD-2023-1953
威胁类型	身份认证绕过 命令执行	技术类型	权限控制不当 命令注入
厂商	青岛易软天创网络科技有限公司	产品	禅道项目管理系统
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未公开	未公开	未发现	已公开
漏洞描述	禅道项目管理系统中存在身份认证绕过漏洞，未经授权的远程攻击者可利用此漏洞获取系统管理员权限，进一步组合后台命令执行漏洞最终可在目标服务器上注入任意命令，实现未授权接管服务器。
影响版本	17.4 <= 禅道项目管理系统 <= 18.0.beta1（开源版） 7.4 <= 禅道项目管理系统 <= 8.0.beta1（企业版） 3.4 <= 禅道项目管理系统 <= 4.0.beta1（旗舰版）
不受影响版本	禅道项目管理系统开源版 >= 18.0.beta2 禅道项目管理系统企业版 >= 8.0.bate2 禅道项目管理系统旗舰版 >= 4.0.bate2
其他受影响组件	基于禅道二次开发的系统

目前，奇安信CERT第一时间复现禅道项目管理系统远程命令执行漏洞，截图如下：

---

威胁评估

漏洞名称	禅道项目管理系统远程命令执行漏洞
CVE编号	暂无	其他编号		QVD-2023-1953
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	未经授权的远程攻击者可利用此漏洞获取系统管理员权限，进一步组合后台命令执行漏洞最终可在目标服务器上注入任意命令，实现未授权接管服务器。

处置建议

目前，官方已有可更新版本，建议受影响用户尽快升级至对应版本：

开源版升级至 18.0.beta2 及以上版本；

企业版升级至 8.0.bate2 及以上版本；

旗舰版升级至 4.0.bate2 及以上版本。

可参考文档：https://www.zentao.net/book/zentaoprohelp/41.html

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对禅道项目管理系统远程命令执行漏洞的防护。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0113.13707或以上版本。规则ID及规则名称：0x10021464，禅道项目管理系统远程命令执行漏洞。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7697，建议用户尽快升级检测规则库至2301131000以上。

参考资料

[1]https://www.zentao.net/dynamic/zentaopms18.0.beta2-81935.html

[2]https://www.zentao.net/book/zentaoprohelp/41.html

时间线

2023年1月13日，
奇安信 CERT发布安全风险通告。

点击阅读原文
到奇安信NOX-安全监测平台查询更多漏洞详情