漏洞描述 禅道项目管理系统 v18.0-v18.3 版本 module/zahost/model.php 中,ping 函数未对传入参数 $address进行校验,导致后台命令执行。攻击者可以利用该漏洞执行任意命令进而控制整个服务器。