一、漏洞详情
禅道项目管理软件是国产的开源项目管理软件。
禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
16.x <= 禅道项目管理系统< 18.12(开源版)
6.x <= 禅道项目管理系统< 8.12(企业版)
3.x <= 禅道项目管理系统< 4.12(旗舰版)
三、修复建议
目前官方已有可更新版本,建议受影响的用户尽快升级至安全版本。
来源:江苏省教育网络和信息安全通报平台
