Allegra 曝光多个远程代码执行漏洞CVE-2024-5579

Allegra 项目是专为中型企业设计、适用于中型企业的项目管理软件，通过定制Allegra满足个性化需求，并将其集成到项目现有的流程中。

Allegra 项目支持云操作和自托管，从想法到常规运营全程陪伴，通过任务管理、项目管理、服务管理、跟踪任务等管理所有类型的任务。

一、基本情况

Allegra可以协助规划小型和大型项目，模板可帮助快速入门，经典地使用甘特图，根据Scrum和看板或混合方式快速工作，充分调动资源。

Allegra项目提供团队参与项目的进度跟踪，通过交通灯图和里程碑趋势分析，使得计划的偏差立即可见，迅速解决客户问题、请求和疑虑。

Allegra将会议纪要链接到任务、委派任务、管理未清项目列表，任务到期时可自动提醒，通过更少电子邮件、较短会议达到更好信息水平。

栋科技漏洞库关注到Allegra项目近期披露多个数据远程代码执行漏洞，分别追踪为CVE-2024-5579、CVE-2024-5580、CVE-2024-5581。

CVE-2024-5579、CVE-2024-5580、CVE-2024-5581漏洞的ZDI编号分别被追踪为ZDI-CAN-23451、ZDI-CAN-23452、ZDI-CAN-23453。

二、漏洞分析

CVE-2024-5579

CVE-2024-5579漏洞是Allegra renderFieldMatch 反序列化不受信任的数据远程代码执行漏洞，漏洞利用需进行身份验证，CVSS评分7.2。

CVE-2024-5579漏洞是Allegra的renderFieldMatch方法存在的远程代码执行漏洞，允许远程攻击者在受影响Allegra安装上执行任意代码。

该漏洞具体存在于renderFieldMatch方法中，源于对用户提供数据的验证不足，可能导致不信任数据的反序列化。

该漏洞的编号是ZDI-CAN-23451，攻击者可以利用此漏洞以本地服务的方式执行代码。

CVE-2024-5580

CVE-2024-5580是Allegra loadFieldMatch 反序列化不受信任的数据远程代码执行漏洞，漏洞利用前提是需进行身份验证，CVSS评分7.2。

CVE-2024-5580漏洞是Allegra软件的loadFieldMatch方法存在反序列化不可信数据的远程代码执行漏洞。

该漏洞具体存在于loadFieldMatch方法中，源于对用户提供数据的验证不足，可能导致不可信数据的反序列化。

该漏洞编号是ZDI-CAN-23452，攻击者可利用此漏洞以本地服务的方式执行代码，允许远程攻击者在受影响Allegra安装上执行任意代码。

CVE-2024-5581

CVE-2024-5581是Allegra unzipFile 目录遍历远程代码执行漏洞，攻击者可利用漏洞以LOCAL SERVICE的权限执行代码，CVSS评分7.2。

漏洞是Allegra软件的unzipFile方法存在目录遍历远程代码执行漏洞，源于在用户提供的路径用于文件操作之前没有对路径进行适当的验证。

该漏洞允许远程攻击者在受影响的Allegra安装上执行任意代码，但漏洞利用前提是需进行身份验证，该漏洞曾被标记为ZDI-CAN-23453。

三、影响范围

Allegra < 7.5.2

四、修复建议

Allegra >= 7.5.2

五、参考链接

https://alltena.com/en/resources/release-notes/relnotes-7-5-2