使用未登陆账号的浏览器访问附件链接,能够直接访问
2020-09-01 19:28:41
yan
  • 访问次数: 56
  • 注册日期: 2019-12-10
  • 最后登录: 2020-09-08
  • 我的积分: 295
  • 门派等级: 无门派

1.发现网站程序未对敏感文件进行用户身份验证,类似 http://xxxxx/zentaopms/www/index.php?m=file&f=read&t=&fileID=1004的页面可无需账号登录即可正常访问,把fileID设置成变量,遍历请求可以得到所有文件,存在安全隐患,建议增加身份权限验证。

2.发现维护列表页面列表名称( URL:http://xxxxx/zentaopms/www/index.php?m=my&f=managecontacts)和任务详情页面复制任务功能( URL:http://xxxxx/zentaopms/www/index.php?m=task&f=view&taskID=691)存在XSS漏洞


沙发
2020-09-02 09:17:40
张玉洁
  • 访问次数: 1321
  • 注册日期: 2019-03-14
  • 最后登录: 2020-09-23
  • 我的积分: 4867
  • 门派等级: 无门派
请问目前使用的禅道版本是什么?可以看一下页面右下角的禅道版本号。在新版本中,下载附件需要先进行登录验证的。另外新版本中也修复了一些已知漏洞,可以尝试升级看一下。升级前请做好数据备份
升级请参考文档:http://www.zentao.net/book/zentaopmshelp/41.html

备份请参考文档:http://www.zentao.net/book/zentaopmshelp/42.html

目前最新开源版12.4.1下载地址:https://www.zentao.net/dynamic/zentaopms12.4.1-80253.html

如果升级后还是复现这两个问题,可以添加网页上方QQ,邀请进群,方便截图排查问题。

板凳
2020-09-03 19:03:03
yan
  • 访问次数: 56
  • 注册日期: 2019-12-10
  • 最后登录: 2020-09-08
  • 我的积分: 295
  • 门派等级: 无门派
升级12.4.1版本后,未登录用户仍可查看到所有类   http://xxxxx/zentaopms/www/index.php?m=file&f=read&t=&fileID=1004的图片或下载了文档
#3
2020-09-04 09:11:15
张玉洁
  • 访问次数: 1321
  • 注册日期: 2019-03-14
  • 最后登录: 2020-09-23
  • 我的积分: 4867
  • 门派等级: 无门派

这个链接应该是读取禅道中黏贴的图片,图片是可以直接读取查看的,为了方便在通知邮件或其他禅道集成的系统中显示。如果需要不允许未登录查看的话,可以修改zentao/module/commom/model.php这个代码文件,将打开附件的代码加入到登录验证中。注意:修改后邮件通知等禅道外的系统会无法显示图片和文件的。


#4
2020-09-07 10:33:20 回复 #3
yan
  • 访问次数: 56
  • 注册日期: 2019-12-10
  • 最后登录: 2020-09-08
  • 我的积分: 295
  • 门派等级: 无门派

将 if($module == 'file' and $method == 'read') return true; 加入登录验证后未生效


#5
2020-09-07 17:59:57
石洋洋
  • 访问次数: 6076
  • 注册日期: 2011-04-06
  • 最后登录: 2020-09-08
  • 我的积分: 95074
  • 门派等级: 幽灵 等级6 修罗
yan:把 zentao/tmp/model/ 下面的所有文件都删除,然后再操作试一下。还不行的话检查一下module/common/ext/model/下面是否有扩展文件?也可以加一下本网页最上方的QQ或者电话微信,邀请入群后截图一起看一下。
#6
2020-09-08 09:20:01
yan
  • 访问次数: 56
  • 注册日期: 2019-12-10
  • 最后登录: 2020-09-08
  • 我的积分: 295
  • 门派等级: 无门派
删除zentao/tmp/model/ 下面的文件之后,登录验证生效,谢谢!
#7
2020-09-08 09:59:09
yan
  • 访问次数: 56
  • 注册日期: 2019-12-10
  • 最后登录: 2020-09-08
  • 我的积分: 295
  • 门派等级: 无门派

问题二中, 任务详情页面复制任务功能(  URL:http://xxxxx/zentaopms/www/index.php?m=task&f=view&taskID=691 )存在XSS漏洞,升级到 12.4.1版本后仍存在

#8
2020-09-08 13:24:10
石洋洋
  • 访问次数: 6076
  • 注册日期: 2011-04-06
  • 最后登录: 2020-09-08
  • 我的积分: 95074
  • 门派等级: 幽灵 等级6 修罗
这个漏洞已经修复会在下一个版本中对外发布。
1/1