一、漏洞分析
组件介绍
禅道是一款开源的全生命周期项目管理软件,基于敏捷和
CMM
I
管理理念进行设计,集产品管理、项目管理、质量管理、文档管理、
组织管理和事务管理于一体,完整地覆盖了项目管理的核心流程。
漏洞描述
2024
年
4
月
26
日,深瞳漏洞实验室监测到一则易软天创
-
禅道项
目管理软件组件存在权限提升漏洞的信息,漏洞威胁等级:严重。
该漏洞允许未授权攻击者绕过正常认证流程创建高权限用户,执
行任意代码导致服务器失陷。
二、影响范围
目前受影响的易软天创
-
禅道项目管理软件版本:
v16.x
≤ 禅道 <
v18.12
(开源版)
v6.x
≤ 禅道 <
v8.12
(企业版)
v3.x
≤ 禅道 <
v4.12
(旗舰版)
三、解决方案
官方修复建议
官方已发布新版本修复漏洞,建议尽快访问官网或联系官方售后
支持获取新版本安装包,升级至不受影响的安全版本。
链接如下:
https://www.zentao.net/