【漏洞复现】禅道项目管理系统身份认证绕过漏洞

cexlife 飓风网络安全 2024-04-26 17:10

漏洞概述:

禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后就可以实现完全接管服务器。

漏洞复现：

影响产品:1、16.x <= 禅道项目管理系统< 18.12（开源版）2、 6.x <= 禅道项目管理系统< 8.12 （企业版）3、 3.x <= 禅道项目管理系统< 4.12 （旗舰版） 修复建议:官方已发布修复建议,建议受影响的用户尽快升级至安全版本(https://www.zentao.net/download/)