2023年1月16日
禅道项目管理系统未授权RCE分析记录
摘要: 漏洞原理简介 禅道项目管理系统的鉴权模块存在逻辑设计缺陷,可以允许攻击者利用无须授权的模块去内存中“伪造”一个合法用户,然后利用该用户访问需要授权的模块。从而调用危险的路由,导致命令执行。 环境搭建 点击下载,然后直接根据版本搜索需要的即可。官方提供了一键安装包,为了节省时间,我直接使用了Windo 阅读全文
posted @ 2023-01-16 17:07 magic_zero 阅读(1854) 评论(0) 推荐(0) 编辑