禅道项目管理系统身份认证绕过漏洞分析(QVD-2024-15263) 教学文档<\/h1>

漏洞概述<\/h2>
禅道项目管理系统存在一个严重的身份认证绕过漏洞，远程攻击者可以利用该漏洞绕过系统认证机制，调用任意API接口并修改管理员用户密码，最终实现系统完全控制。<\/p>

影响版本<\/h3>

开源版：16.x <= 禅道项目管理系统 < 18.12<\/li>
企业版：6.x <= 禅道项目管理系统 < 8.12<\/li>

旗舰版：3.x <= 禅道项目管理系统 < 4.12<\/li> <\/ul>

漏洞复现步骤<\/h2>

获取认证Cookie<\/strong>：<\/p>

GET \/api.php?m=testcase&f=savexmindimport&HTTP_X_REQUESTED_WITH=XMLHttpRequest
<\/code><\/pre>
此请求会返回一个有效的会话Cookie<\/p>
<\/li>

验证漏洞存在<\/strong>：

使用获取的Cookie访问用户API接口：<\/p>
GET \/api.php\/v1\/users
<\/code><\/pre>
响应为error: no company-browse priv.<\/code>表示漏洞存在，Unauthorized<\/code>则表示系统已修复<\/p>
<\/li>
<\/ol>
漏洞详细分析<\/h2>
认证流程分析<\/h3>


应用初始化<\/strong>：<\/p>

程序首先创建app实例：$app = router::createApp('pms', dirname(dirname(__FILE__)), 'api');<\/code><\/li>
调用router.class.php#startSession()<\/code>生成sessionID<\/li>
<\/ul>
<\/li>

权限验证<\/strong>：<\/p>

执行$common->checkEntry()<\/code>进行权限验证<\/li>
isOpenMethod()<\/code>检查白名单，testcase.savexmindimport<\/code>在白名单内，跳过后续验证<\/li>
<\/ul>
<\/li>

AJAX请求验证<\/strong>：<\/p>

Helper::isAjaxRequest()<\/code>通过检查HTTP_X_REQUESTED_WITH<\/code>是否为XMLHttpRequest<\/code><\/li>
可通过GET参数伪造AJAX请求<\/li>
<\/ul>
<\/li>
<\/ol>
认证绕过机制<\/h3>


漏洞触发点<\/strong>：<\/p>

testcase\control.php#saveXmindImport()<\/code>调用common\model.php#deny()<\/code><\/li>
deny()<\/code>方法在$this->app<\/code>中添加user<\/code>字段并存入session<\/li>
<\/ul>
<\/li>

认证绕过原理<\/strong>：<\/p>

正常认证检查$this->app->user<\/code>是否存在且account<\/code>不等于guest<\/code><\/li>
通过漏洞创建的session包含user<\/code>字段，绕过认证检查<\/li>
<\/ul>
<\/li>

修复后验证<\/strong>：<\/p>

修复版本使用$this->loadModel('user')->isLogon()<\/code><\/li>
isLogon()<\/code>检查$this->session->user<\/code>，未登录时为null<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用扩展<\/h2>
除testcase.savexmindimport<\/code>外，其他调用deny()<\/code>的方法也可实现认证绕过，例如：<\/p>

testcase.getxmindimport<\/code><\/li>
<\/ul>
防御措施<\/h2>


升级到最新版本：<\/p>

开源版 >= 18.12<\/li>
企业版 >= 8.12<\/li>
旗舰版 >= 4.12<\/li>
<\/ul>
<\/li>

临时缓解方案：<\/p>

禁用或限制testcase.savexmindimport<\/code>等白名单方法的访问<\/li>
加强API接口的权限验证<\/li>
<\/ul>
<\/li>
<\/ol>
技术要点总结<\/h2>


关键漏洞点<\/strong>：<\/p>

白名单方法未正确验证会话状态<\/li>
deny()<\/code>方法错误设置用户会话<\/li>
<\/ul>
<\/li>

利用条件<\/strong>：<\/p>

能够访问系统API接口<\/li>
存在调用deny()<\/code>的白名单方法<\/li>
<\/ul>
<\/li>

影响范围<\/strong>：<\/p>

可调用任意API接口<\/li>
可修改管理员密码<\/li>
可配合其他漏洞实现服务器完全控制<\/li>
<\/ul>
<\/li>
<\/ol>
参考链接<\/h2>

官方修复提交：https:\/\/github.com\/easysoft\/zentaopms\/commit\/d13ba70016ca981b08f27e08fb934bf1f23a4135<\/li>
<\/ul>

禅道项目管理系统身份认证绕过漏洞分析(QVD-2024-15263) 教学文档<\/h1>

漏洞概述<\/h2> 禅道项目管理系统存在一个严重的身份认证绕过漏洞，远程攻击者可以利用该漏洞绕过系统认证机制，调用任意API接口并修改管理员用户密码，最终实现系统完全控制。<\/p>

参考链接<\/h2> 官方修复提交：https:\/\/github.com\/easysoft\/zentaopms\/commit\/d13ba70016ca981b08f27e08fb934bf1f23a4135<\/li> <\/ul>

漏洞概述<\/h2>
禅道项目管理系统存在一个严重的身份认证绕过漏洞，远程攻击者可以利用该漏洞绕过系统认证机制，调用任意API接口并修改管理员用户密码，最终实现系统完全控制。<\/p>

参考链接<\/h2>

官方修复提交：https:\/\/github.com\/easysoft\/zentaopms\/commit\/d13ba70016ca981b08f27e08fb934bf1f23a4135<\/li> <\/ul>