ZenTaoPMS v18.11 through v21.6.beta is vulnerable to Directory Traversal in /module/ai/control.php. This allows attackers to execute arbitrary code via a crafted file upload
ZenTaoPMS versions 18.11 through 21.6.beta contain a critical directory traversal vulnerability in the AI module that allows attackers to execute arbitrary code through malicious file uploads. This vulnerability affects the /module/ai/control.php endpoint and poses severe risks to organizations using vulnerable versions.
تسمح ثغرة اجتياز المجلدات (Path Traversal) في ZenTaoPMS للمهاجمين بالوصول إلى ملفات خارج المجلد المقصود من خلال معالجة غير آمنة لمسارات الملفات. يمكن للمهاجمين استغلال هذه الثغرة لتحميل ملفات ضارة وتنفيذ أكواد عشوائية على خادم التطبيق. هذا يؤدي إلى اختراق كامل للنظام والوصول غير المصرح به إلى البيانات الحساسة.
إصدارات ZenTaoPMS من 18.11 إلى 21.6.beta تحتوي على ثغرة حرجة في اجتياز المجلدات في وحدة الذكاء الاصطناعي تسمح للمهاجمين بتنفيذ أكواد عشوائية من خلال تحميلات ملفات ضارة. تؤثر هذه الثغرة على نقطة نهاية /module/ai/control.php وتشكل مخاطر شديدة للمنظمات التي تستخدم الإصدارات المعرضة للخطر.
Immediately upgrade ZenTaoPMS to version 21.7 or later. If immediate patching is not possible, implement strict input validation and file upload restrictions on the /module/ai/control.php endpoint, disable the AI module if not required, and monitor file uploads for suspicious patterns. Apply Web Application Firewall (WAF) rules to block directory traversal attempts.
قم بترقية ZenTaoPMS فوراً إلى الإصدار 21.7 أو أحدث. إذا لم يكن التصحيح الفوري ممكناً، قم بتطبيق التحقق الصارم من المدخلات وتقييد تحميل الملفات على نقطة النهاية /module/ai/control.php، وعطّل وحدة الذكاء الاصطناعي إذا لم تكن مطلوبة، وراقب تحميلات الملفات بحثاً عن أنماط مريبة. طبّق قواعد جدار حماية تطبيقات الويب لحجب محاولات اجتياز المجلدات.