getshell漏洞是否已经修复?
2019-10-23 23:32:44
陈峰
  • 访问次数: 4
  • 注册日期: 2019-10-23
  • 最后登录: 2019-10-25
  • 我的积分: 64
  • 门派等级: 无门派

1、利用后台管理页面已知口令登录后, 存在可getshell漏洞。

2、通过疑似0day绕过jumpserver堡垒机的双因子验证,并创建大量服务器的系统账户。

沙发
2019-10-24 13:32:25
石洋洋
  • 访问次数: 5712
  • 注册日期: 2011-04-06
  • 最后登录: 2019-11-20
  • 我的积分: 93063
  • 门派等级: 幽灵 等级6 修罗

能具体描述一下吗?或者可以通过邮件发送细节的内容,邮箱地址: kf@zentao.net

邮件内麻烦提供贵公司禅道版本号、安装环境等信息,谢谢。

板凳
2019-10-24 17:43:01
春哥
  • 访问次数: 10584
  • 注册日期: 2005-04-30
  • 最后登录: 2019-11-05
  • 我的积分: 528307
  • 门派等级: 幽灵 等级7 春哥

应该是我们后台代码编辑器的功能,你们可以直接把这个代码删掉即可。:)

这其实是我们的功能。不过弱口令,这个木有办法,总不能强制大家全都是用强口令。

#3
2019-10-25 08:38:37
陈峰
  • 访问次数: 4
  • 注册日期: 2019-10-23
  • 最后登录: 2019-10-25
  • 我的积分: 64
  • 门派等级: 无门派
这个后台代码编辑器功能怎么删除?请指教
#4
2019-10-25 08:52:29
王林
  • 访问次数: 2413
  • 注册日期: 2017-06-20
  • 最后登录: 2019-11-20
  • 我的积分: 11521
  • 门派等级: 无门派

最新版本的后台代码编辑器功能只能通过127.0.0.1本地登录禅道访问,可以升级到最新版本再看下

升级前请做好数据备份
   升级请参考文档:http://www.zentao.net/book/zentaopmshelp/41.html
   备份请参考文档:http://www.zentao.net/book/zentaopmshelp/42.html


需要删除的话,可以看下二次开放手册

二次开发参考文档:
http://www.zentao.net/book/zentaopmshelp/156.html
http://www.zentao.net/book/zentaopmshelp/225.html



1/1