禅道研发项目管理系统命令注入漏洞

一、漏洞概述

近日，绿盟科技CERT监测到网上公开披露了一个禅道研发项目管理系统命令注入漏洞。未经身份验证的攻击者利用权限绕过漏洞进入后台，之后通过命令注入漏洞在目标系统上实现任意执行代码，请相关用户尽快采取措施进行防护。

禅道是一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体，是一款专业的研发项目管理软件，完整覆盖了研发项目管理的核心流程。

参考链接：

https://www.zentao.net/index.html

二、影响范围

受影响版本

• v4<=