開源文件共享應(yīng)用程序ProjectSend被曝出存在嚴(yán)重的安全漏洞，CVSS評分高達(dá)9.8分，VulnCheck調(diào)查結(jié)果顯示，這個(gè)漏洞很可能已經(jīng)被惡意利用。

ProjectSend允許用戶在自己的服務(wù)器上部署程序，以便構(gòu)建文件共享功能，方便與其他用戶或客戶分享文件。

該漏洞最初在2023年5月的提交中被修復(fù)，直到2024年8月r1720版本發(fā)布后才正式可用，2024年11月26日，該漏洞被分配了CVE標(biāo)識符CVE-2024-11680。

VulnCheck在7月發(fā)布的報(bào)告中提到，在ProjectSend的r1605版本中發(fā)現(xiàn)了一個(gè)不適當(dāng)?shù)氖跈?quán)檢查，允許攻擊者執(zhí)行敏感操作，最終允許在托管應(yīng)用程序的服務(wù)器上執(zhí)行任意PHP代碼。

如果攻擊者上傳了Web Shell則可以在分享站點(diǎn)的/uploads/files/找到它并執(zhí)行，這有可能會造成服務(wù)器數(shù)據(jù)泄露或更多危害性操作。

至于為何又要專門發(fā)布報(bào)告，因?yàn)槿W(wǎng)掃描發(fā)現(xiàn)僅1%安裝了ProjectSend的服務(wù)器更新到了r1750版，其他99%的機(jī)器都還在運(yùn)行無法檢測到版本號的版本或者r1605版。

VulnCheck表示，鑒于該漏洞似乎被廣泛利用，建議用戶盡快應(yīng)用最新的補(bǔ)丁程序。

關(guān)注公眾號：拾黑（shiheibook）了解更多

友情鏈接：

關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/
安全、綠色軟件下載就上極速下載站：https://www.yaorank.com/