ProjectSend被发现高危漏洞 可能已经被恶意利用

近日，开源文件共享应用程序ProjectSend被发现存在严重的安全漏洞，其CVSS评分为9.8分。根据VulnCheck的调查结果，该漏洞很可能已经被恶意利用。

ProjectSend是一款允许用户在其服务器上部署程序的工具，以便构建文件共享功能并与其他用户或客户分享文件。最初修复该漏洞的补丁是在2023年5月提交的，但直到2024年8月的r1720版本发布后才正式可用。最近，在2024年11月26日，这个漏洞被分配了CVE标识符CVE-2024-11680。

据VulnCheck在7月发布的报告所示，在ProjectSend的r1605版本中发现了一个不适当的授权检查问题。这一漏洞允许攻击者执行敏感操作，并最终使得他们在托管应用程序的服务器上能够执行任意PHP代码。

如果攻击者成功上传Web Shell，则可以在分享站点的/uploads/files/目录下找到它并执行。这可能会导致服务器数据泄露或其他更严重的问题。

值得注意的是，尽管此次漏洞事件已经引起了广泛关注，但VulnCheck发现只有约1%的服务器安装了ProjectSend的最新版本r1750，并且其余99%的服务器仍然无法检测到过时版本或r1605版本。

鉴于这个漏洞似乎已经被广泛利用，VulnCheck建议用户尽快应用最新的补丁程序以确保系统的安全性。