各二级单位：

 近期广东省网络安全应急响应中心发布了关于禅道命令注入漏洞的公告。该漏洞是由于禅道项目管理系统权限认证存在缺陷导致，攻击者可利用该漏洞在未授权的情况下，通过权限绕过，SQL注入漏洞组合利用，最终可以在服务器执行任意命令。

 禅道是一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体，是一款专业的研发项目管理软件，完整覆盖了研发项目管理的核心流程。

 漏洞名称：禅道命令注入漏洞

 影响范围：17.4  <=  Zentao （禅道） <=  18.0.beta 1 （开源版）；

           3.4  <=  Zentao （禅道） <=  4.0.beta 1 （旗舰版）；

           7.4  <=  Zentao （禅道） <=  8.0.beta 1 （企业版）；

 危害等级：高

 目前禅道官方已正式发布修复版本，请各单位自查是否使用了受影响版本的禅道软件，尽快升级到官方最新版本并做好服务器安全访问机制，以防遭受黑客攻击，下载地址如下：

 https://www.zentao.net/download.html

 同时，建议各单位定期对信息系统开展自查，加强安全监测，及时更新系统和修补漏洞，并对重要的数据、文件进行定期备份。

信息网络工程研究中心（信息化办公室）

2023年1月19日