使用未登陆账号的浏览器访问附件链接,能够直接访问
回贴
1.发现网站程序未对敏感文件进行用户身份验证,类似http://xxxxx/zentaopms/www/index.php?m=file&f=read&t=&fileID=1004的页面可无需账号登录即可正常访问,把fileID设置成变量,遍历请求可以得到所有文件,存在安全隐患,建议增加身份权限验证。
2.发现维护列表页面列表名称(URL:http://xxxxx/zentaopms/www/index.php?m=my&f=managecontacts)和任务详情页面复制任务功能(URL:http://xxxxx/zentaopms/www/index.php?m=task&f=view&taskID=691)存在XSS漏洞
升级请参考文档:http://www.zentao.net/book/zentaopmshelp/41.html
备份请参考文档:http://www.zentao.net/book/zentaopmshelp/42.html
目前最新开源版12.4.1下载地址:https://www.zentao.net/dynamic/zentaopms12.4.1-80253.html
如果升级后还是复现这两个问题,可以添加网页上方QQ,邀请进群,方便截图排查问题。
这个链接应该是读取禅道中黏贴的图片,图片是可以直接读取查看的,为了方便在通知邮件或其他禅道集成的系统中显示。如果需要不允许未登录查看的话,可以修改zentao/module/commom/model.php这个代码文件,将打开附件的代码加入到登录验证中。注意:修改后邮件通知等禅道外的系统会无法显示图片和文件的。
将 if($module == 'file' and $method == 'read') return true; 加入登录验证后未生效
石洋洋
问题二中,任务详情页面复制任务功能( URL:http://xxxxx/zentaopms/www/index.php?m=task&f=view&taskID=691)存在XSS漏洞,升级到12.4.1版本后仍存在
名额有限
完善信息领取项目管理礼包
徐亚京/高级客户经理
联系客服领取礼包
