安全通告

禅道研发项目管理系统命令注入漏洞预警通告

发布日期：2023-01-12

漏洞描述

近日发现禅道研发项目管理系统命令注入漏洞的0day相关漏洞情报，攻击者可以通过利用权限绕过结合后台命令执行，导致系统被攻击与控制。禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理。

漏洞危害

攻击者可以通过利用权限绕过结合后台命令执行，导致系统被攻击与控制。

漏洞等级

严重
受影响版本

17.4<=version<=18.0.beta1（开源版）

3.4<=version<=4.0.beta1（旗舰版）

7.4<=version<=8.0.beta1（企业版）

修复方案

升级开源版到18.0.beta2及以上，升级企业版到8.0.bate2及以上，升级旗舰版到4.0bate2及以上。官网获取对应版本并进行升级。

下载链接：

https://www.zentao.net/download.html

参考链接

https://www.zentao.net/download.html