禅道8.2-9.2.1sql注入前台getshell
- cnnvd编号:未知
- 危害等级: 高危
- cve编号:未知
- 漏洞类型: sql注入
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2020-12-22
- 更新时间:2021-01-14
漏洞简介
禅道项目管理软件集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体,是一款功能完备的项目管理软件。该漏洞影响版本为禅道8.2-9.2.1。漏洞出现在系统orm框架中,在拼接order by的语句过程的时候,未对limit部分过滤并直接拼接,导致攻击者构造执行sql语句。在mysql权限配置不当的情况下,攻击者可利用该漏洞获取webshell。
漏洞公示
暂无
参考网站
暂无
受影响实体
禅道8.2 - 9.2.1
补丁
建议受影响的用户升级至zentao 9.2.1以上版本或打上对应补丁包,下载地址:
