禅道开源版文件上传漏洞

百家 作者:知安 2020-10-26 17:34:42

安全预警


漏洞:禅道开源版文件上传漏洞

漏洞编号:CNVD-C-2020-121325

胁程度:

影响范围

禅道开源版<=12.4.2


漏洞描述

禅道官网发布了12.4.3版本更新公告,修复了一个文件上传的漏洞。恶意攻击者(需要登陆后台的任意用户)可以通过fopen、fread、fwrite方法结合file、http、ftp等协议,读取或上传任意敏感文件,成功利用漏洞可获得目标系统的敏感文件及系统管理权限。


修复建议:

升级至禅道开源版12.4.3


相关链接:

  1. https://www.zentao.net

  2. https://www.zentao.net/download/zentaopms12.4.3-80272.htm

2020年10月26日


禅道

介绍

禅道是第一款国产的开源项目管理软件,她的核心管理思想基于敏捷方法scrum,内置了产品管理和项目管理,同时又根据国内研发现状补充了测试管理、计划管理、发布管理、文档管理、事务管理等功能,在一个软件中就可以将软件研发中的需求、任务、bug、用例、计划、发布等要素有序的跟踪管理起来,完整地覆盖了项目管理的核心流程。


禅道使用自主开发的zentaophp框架开发,内置了完整的扩展机制(非简单的钩子),用户可以非常方便的对禅道进行彻底的二次开发。禅道还为每一个页面提供了json接口的api,方便其他语言来调用交互。内置多语言支持,多风格支持,搜索功能,统计功能等实用功能。




知安,您产品的安全医院!

https://www.knowsafe.com/

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接