4月25日,「数字风洞」测评中心监测到,禅道开源项目管理软件被曝存在身份认证绕过漏洞,该漏洞允许攻击者绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员身份登录该系统,通过利用其他漏洞来接管服务器控制权限。
目前该漏洞PoC已在互联网上公开,鉴于禅道在国内用户众多,预计此漏洞风险影响范围较大,建议尽快做好自查及防护。
据了解,禅道是一款开源的项目管理软件,可以帮助团队实现敏捷开发和项目管理,具有任务跟踪、BUG管理、文档管理、团队协作等功能。同时禅道还可以通过插件扩展功能,如集成SVN/Git、邮件提醒等等。
禅道集数据可视化、度量、DevOps、文档资产管理和自动化测试等模块于一体,凭借在研发项目管理方面的优越性,禅道在中小型企业研发团队中具有较高的市场占有率和口碑。
01
漏洞描述
禅道系统某些API设计为通过特定的鉴权函数进行验证,但在实际实现中,这个鉴权函数在鉴权失败后并不中断请求,而是仅返回一个错误标志,这个返回值在后续没有被适当处理。
此外,该系统在处理某些API时未能有效检查用户身份,允许未认证的用户执行某些操作,从而绕过鉴权机制。
02
风险描述
通过访问存在漏洞的接口获取cookie,携带cookie访问需要鉴权的API,建立新用户,随后可通过新建立的用户登录平台。
03
影响范围
v16.x=禅道项目管理系统v18.12(开源版)
v6.x=禅道项目管理系统v8.12(企业版)
v3.x=禅道项目管理系统v4.12(旗舰版)
04
修补方案
官方已发布新版本的修复漏洞,受影响的用户建议更新至安全版本
针对此类安全风险事件,「数字风洞」测评中心建议采取以下安全措施:
1.根据官方发布的信息,开发者应立即升级到禅道不受漏洞影响的最新版本。如果无法立即更新,可以参考官方发布的临时措施,比如在相关文件中添加策略以阻止未授权的访问。
2.增强系统监控,记录异常活动,以便及时发现并响应潜在的安全威胁。
3.定期对系统进行安全审计,检查是否存在其他潜在的安全风险。
4.确保系统中实施了强身份认证机制,避免使用默认或弱密码。
5.将关键系统和应用隔离在安全的网络区域内,减少潜在的攻击面。
6.定期备份重要数据,以防万一系统受到攻击,能够确保快速恢复。
永信至诚「数字风洞」测评中心将继续监测此类风险事件,该漏洞验证载荷已在永信至诚「数字风洞」平台更新,用户可自行验证。
转载请注明:http://www.0431gb208.com/sjszlfa/9212.html
