CNVD-C-2020-121325 | 禅道文件上传漏洞通告
发布时间 2020-10-270x00 漏洞概述
CNVD ID | CNVD-C-2020-121325 | 时 间 | 2020-10-27 |
类 型 | 文件上传 | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | 禅道开源版 12.3.3、12.4.1、12.4.2 |
禅道是第一款国产的开源项目管理软件,其使用zentaophp框架开发,内置了测试管理、计划管理、发布管理、文档管理、事务管理等产品管理和项目管理功能,并为每一个页面提供json接口的api,方便与其它语言调用交互。内置多语言、多风格、搜索功能、统计功能等多种实用功能。
0x01 漏洞详情
2020年10月14日,禅道官网发布安全公告,禅道开源项目管理软件中存在一个文件上传漏洞(CNVD-C-2020-121325)。攻击者可以通过fopen/fread/fwrite方法结合File、FTP等协议读取或上传任意文件。成功利用此漏洞的攻击者可获得目标系统敏感文件及系统管理权限。
0x02 处置建议
目前禅道官网已经发布了安全版本,建议及时更新至12.4.3。
下载地址:
https://www.zentao.net/download/zentaopms12.4.3-80272.html
0x03 参考链接
https://www.zentao.net/dynamic/zentaopms12.4.3-80272.html
https://www.zentao.net
0x04 时间线
2020-10-16 禅道发布安全公告
2020-10-27 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/