禅道系统存在高危漏洞
工作发现,由禅道软件(青岛)有限公司开发的开源项目管理软件禅道系统(ZenTaoPMS)存在高危注入漏洞(CNVD-2022-42853)。
该系统集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体,主要用户为软件供应链企业。攻击者可利用该漏洞,通过构造恶意代码,实现数据库“脱库”操作,造成源码、用户数据泄露等严重后果。
受影响的版本包括开源版16.5、16.5betal、企业版6.5、6.5betal以及旗舰版3.0、3.0betal。该公司已提供官方修复方案(https://www.zentao.net).