• 漏洞编号：暂无
• 漏洞类型：身份认证绕过
• 漏洞等级：高危
• 发布时间：2024-04-29

漏洞描述

近日，赛克艾威网络安全实验室监测到禅道项目管理系统身份认证绕过风险漏洞情报。受影响版本中由于对 API 鉴权不当，未授权的攻击者可绕过身份校验调用任意API，进而通过修改管理员密码登陆系统，结合经过身份校验的远程代码执行漏洞控制目标服务器。

漏洞危害

未授权的攻击者可绕过身份校验调用任意API，进而通过修改管理员密码登陆系统，结合经过身份校验的远程代码执行漏洞控制目标服务器。

影响版本

禅道项目管理系统@[16.0, 18.12)

禅道项目管理系统@[6.0, 8.12)

禅道项目管理系统@[3.0, 4.12)

修复建议

将组件 禅道项目管理系统 升级至 18.12 及以上版本

将组件 禅道项目管理系统 升级至 8.12 及以上版本

将组件 禅道项目管理系统 升级至 4.12 及以上版本