关于禅道项目管理系统身份认证绕过漏洞的预警提示

一、漏洞详情

禅道项目管理软件是国产的开源项目管理软件。

禅道项目管理系统存在身份认证绕过漏洞，远程攻击者利用该漏洞可以绕过身份认证，调用任意API接口并修改管理员用户的密码，并以管理员用户登录该系统，配合其他漏洞进一步利用后，可以实现完全接管服务器。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

16.x <= 禅道项目管理系统< 18.12（开源版）

6.x <= 禅道项目管理系统< 8.12（企业版）

3.x <= 禅道项目管理系统< 4.12（旗舰版）

三、修复建议

目前官方已有可更新版本，建议受影响的用户尽快升级至安全版本。