禅道项目管理系统远程命令执行漏洞

禅道项目管理系统远程命令执行漏洞

 禅道项目管理系统是国产的开源项目管理软件。

一、漏洞分析

 公开日期：2023-01-13

 漏洞编号：CNVD-2023-02709

 危害等级：高危

 漏洞描述：禅道项目管理系统存在远程命令执行漏洞，该漏洞源于在认证过程中未正确退出程序，导致了认证绕过，并且后台中有多种执⾏命令的⽅式，攻击者可利用该漏洞在目标服务器上注入任意命令，实现未授权接管服务器。

二、漏洞影响产品

 杭州易软共创网络科技有限公司 禅道项目管理系统>=17.4，<=18.0.beta1（开源版）

 杭州易软共创网络科技有限公司 禅道项目管理系统>=7.4，<=8.0.beta1（企业版）

 杭州易软共创网络科技有限公司 禅道项目管理系统>=3.4，<=4.0.beta1（旗舰版）

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.zentao.net/