一、事件描述

近日，广西教育系统网络安全监测中心监测到CNVD官网发布了编号为CNVD-2023-02709的禅道项目管理系统远程命令执行漏洞。该漏洞源于在认证过程中未正确退出程序，导致了认证绕过，并且后台中有多种执行命令的方式，攻击者可利用该漏洞在目标服务器上注入任意命令，实现未授权接管服务器。禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理。

二、影响范围

17.4 <= version <= 18.0.beta1（开源版）

3.4 <= version <= 4.0.beta1（旗舰版）

7.4 <= version <= 8.0.beta1（企业版）

三、漏洞等级

广西教育系统网络安全监测中心将该漏洞评级为严重。

四、安全建议

升级开源版到18.0.beta2及以上，升级企业版到8.0.bate2及以上，升级旗舰版到4.0bate2及以上。官网获取对应版本并进行升级。

帮助参考链接：

https://www.zentao.net/book/zentaoprohelp/41.html