禅道使用
596640

禅道项目管理系统命令执行漏洞已解决 悬赏5积分

提问者我只是一条路过的咸鱼 答案数1 阅读数676 发表时间2023-08-08 11:18:39

近日,禅道研发项目管理系统命令注入漏洞的0day相关漏洞情报,攻击者可以通过利用权限绕过结合后台命令注入进行任意命令执行,导致系统被攻击与控制。禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理。 禅道研发项目管理软件通过misc模块的captacha方法中的setUser()进行权限绕过,结合scm模块的setEngine方法进行命令注入。

麻烦问下这个漏洞需要升级到禅道哪个版本才能修复?


禅道版本:禅道开源版 18.2

安装包类型:Windows安装包

操作系统:Windows Server 2008

客户端浏览器:Chrome

设置备注
内容
答案列表
🍉
2023/08/08 最佳答案

咱们使用的18.2版本已经修复此问题,可以看下此信息

https://mp.weixin.qq.com/s?__biz=MzkzNjMxNDM0Mg==&mid=2247485644&idx=1&sn=4bfa7d4ec2944dfa8755cc26b0454aa8&chksm=c2a1dc45f5d655534fe3205299ace389b080f51ce5ec3698cf1690c49171024b27cbfba4fa8d&token=373351652&lang=zh_CN#rd


🦆
2023/08/08
好的,谢谢哈
联系我们
联系人
杨苗/高级客户经理
电话(微信)
13165050229
QQ号码
2692096539
联系邮箱
yangmiao@chandao.com
返回顶部
杨苗
高级客户经理
13165050229
2692096539
统一服务热线 4006-8899-23
我要提问提问有任何问题,您都可以在这里提问。 问题反馈反馈点击这里,让我们聆听您的建议与反馈。