儘快更新！開源文件共享軟件ProjectSend曝出嚴重漏洞：評分高達9.8、已被利用

快科技11月29日消息，開源文件共享應用程序ProjectSend被曝出存在嚴重的安全漏洞，CVSS評分高達9.8分，VulnCheck調查結果顯示，這個漏洞很可能已經被惡意利用。

ProjectSend允許用戶在自己的服務器上部署程序，以便構建文件共享功能，方便與其他用戶或客戶分享文件。

該漏洞最初在2023年5月的提交中被修復，直到2024年8月r1720版本發佈後才正式可用，2024年11月26日，該漏洞被分配了CVE標識符CVE-2024-11680。

VulnCheck在7月發佈的報告中提到，在ProjectSend的r1605版本中發現了一個不適當的授權檢查，允許攻擊者執行敏感操作，最終允許在託管應用程序的服務器上執行任意PHP代碼。

如果攻擊者上傳了Web Shell則可以在分享站點的/uploads/files/找到它並執行，這有可能會造成服務器數據泄露或更多危害性操作。

至於爲何又要專門發佈報告，因爲全網掃描發現僅1%安裝了ProjectSend的服務器更新到了r1750版，其他99%的機器都還在運行無法檢測到版本號的版本或者r1605版。

VulnCheck表示，鑑於該漏洞似乎被廣泛利用，建議用戶儘快應用最新的補丁程序。