使用未登陆账号的浏览器访问附件链接,能够直接访问
yan
|
1.发现网站程序未对敏感文件进行用户身份验证,类似http://xxxxx/zentaopms/www/index.php?m=file&f=read&t=&fileID=1004的页面可无需账号登录即可正常访问,把fileID设置成变量,遍历请求可以得到所有文件,存在安全隐患,建议增加身份权限验证。 2.发现维护列表页面列表名称(URL:http://xxxxx/zentaopms/www/index.php?m=my&f=managecontacts)和任务详情页面复制任务功能(URL:http://xxxxx/zentaopms/www/index.php?m=task&f=view&taskID=691)存在XSS漏洞
|
张玉洁
|
请问目前使用的禅道版本是什么?可以看一下页面右下角的禅道版本号。在新版本中,下载附件需要先进行登录验证的。另外新版本中也修复了一些已知漏洞,可以尝试升级看一下。升级前请做好数据备份
升级请参考文档:http://www.zentao.net/book/zentaopmshelp/41.html 备份请参考文档:http://www.zentao.net/book/zentaopmshelp/42.html 目前最新开源版12.4.1下载地址:https://www.zentao.net/dynamic/zentaopms12.4.1-80253.html 如果升级后还是复现这两个问题,可以添加网页上方QQ,邀请进群,方便截图排查问题。 |
yan
|
升级12.4.1版本后,未登录用户仍可查看到所有类 http://xxxxx/zentaopms/www/index.php?m=file&f=read&t=&fileID=1004的图片或下载了文档
|
张玉洁
|
这个链接应该是读取禅道中黏贴的图片,图片是可以直接读取查看的,为了方便在通知邮件或其他禅道集成的系统中显示。如果需要不允许未登录查看的话,可以修改zentao/module/commom/model.php这个代码文件,将打开附件的代码加入到登录验证中。注意:修改后邮件通知等禅道外的系统会无法显示图片和文件的。
|
yan
|
将 if($module == 'file' and $method == 'read') return true; 加入登录验证后未生效
|
石洋洋 |
yan:把 zentao/tmp/model/ 下面的所有文件都删除,然后再操作试一下。还不行的话检查一下module/common/ext/model/下面是否有扩展文件?也可以加一下本网页最上方的QQ或者电话微信,邀请入群后截图一起看一下。
|
yan
|
删除zentao/tmp/model/ 下面的文件之后,登录验证生效,谢谢!
|
yan
|
问题二中,任务详情页面复制任务功能( URL:http://xxxxx/zentaopms/www/index.php?m=task&f=view&taskID=691)存在XSS漏洞,升级到12.4.1版本后仍存在
|
石洋洋 |
这个漏洞已经修复会在下一个版本中对外发布。
|