0x01 脆弱性の概要
ZenTao プロジェクト管理システムのリモート コマンド実行の脆弱性 ZenTao は国産初のオープンソース プロジェクト管理ソフトウェアであり、その中核的な管理思想はアジャイル方式のスクラムに基づいており、製品管理とプロジェクト管理が組み込まれています。国内の研究開発状況に応じてテストを補完 管理、計画管理、リリース管理、文書管理、トランザクション管理などの機能を1つのソフトウェアで、要件、タスク、バグ、ユースケース、計画、リリースなどのソフトウェア要素を統合開発は秩序ある方法で追跡および管理でき、プロジェクト管理の中核プロセスを完全にカバーします。
2023 年 1 月 10 日、インターネット上に拡散した ZenTao プロジェクト管理システム コンポーネントにリモート コマンド実行の脆弱性があることが監視されました 脆弱性脅威レベル: 深刻 この脆弱性は、権限や SQL インジェクションの脆弱性を許可なくバイパスするために使用される可能性がありますそして最後にサーバー上で任意のコマンドを実行します。
0x02 影響範囲
17.4 ≤ Zentao ≤ 18.0.beta1 (オープンソースバージョン)
3.4 ≤ Zentao (ゼンタオ) ≤ 4.0.beta1 (アルティメット エディション)
7.4 ≤ Zentao (ゼンタオ) ≤ 8.0.beta1 (エンタープライズ版)
脆弱性の種類:
リモートコマンド実行
利用条件:
1. ユーザー認証:不要
2. 前提条件: 不明
3. トリガーモード: リモート
概要:
<総合評価使用難易度>:不明。
<総合評価脅威レベル>: 深刻、リモートコマンド実行を引き起こす可能性があります。
0x03 ソリューション
コンポーネントシステムのバージョンを検出する方法
ZenTao プロジェクト管理システムにログインした後、「About ZenTao」をクリックしてシステムのバージョンを表示します。
現在、最新バージョンが正式にリリースされており、影響を受けるユーザーは、時間内に最新バージョンにアップデートしてアップグレードすることをお勧めします。リンクは次のとおりです。
https://www.zentao.net/download.html
参考リンク:https://www.zentao.net/dynamic/zentaopms18.0.beta2-81935.html