禅道研发项目管理系统命令注入漏洞（MPS-2023-0418）

漏洞描述

禅道是一款国产开源项目管理软件。

禅道研发项目管理系统存在系统命令注入漏洞，具有后台登陆权限的攻击者可以利用此漏洞执行任意命令，进而控制服务器。
漏洞名称禅道研发项目管理系统命令注入漏洞漏洞类型命令注入发现时间2023/1/6漏洞影响广度一般MPS编号MPS-2023-0418CVE编号-CNVD编号-

禅道项目管理系统（开源版）@[17.4, 18.0.beta2)

禅道项目管理系统（旗舰版）@[3.4, 4.0bate2)

禅道项目管理系统（企业版）@[7.4, 8.0.bate2)

升级org.apache.tomcat:tomcat-catalina到 8.5.84 或 9.0.69 或 10.1.2 或更高版本

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

具体订阅方式详见：

在这里插入图片描述

标签：安全项目管理禅道

本文转载自: https://blog.csdn.net/murphysec/article/details/128616431
版权归原作者 墨菲安全 所有，如有侵权，请联系我们删除。