近期,一款備受歡迎的開源文件共享軟件ProjectSend被曝存在一個重大安全隱患,其嚴重性令人擔憂,CVSS評分高達9.8,這意味著該漏洞一旦被利用,將帶來極其嚴重的后果。根據VulnCheck的調查結果,這一漏洞可能已經落入不法分子的手中。
ProjectSend作為一個靈活的文件共享平臺,允許用戶在自己的服務器上部署,以便輕松實現文件分享功能,無論是內部團隊協作還是對外客戶服務,都顯得尤為便捷。
回溯到2023年5月,這一漏洞的修復方案就已經被提出,但直到2024年8月發布的r1720版本中,這一修復才正式得以應用。而直到2024年11月26日,該漏洞才被正式賦予CVE標識符——CVE-2024-11680。
VulnCheck在7月份的報告中詳細披露了漏洞的具體細節。在ProjectSend的r1605版本中,研究人員發現了一個關鍵的授權檢查漏洞,該漏洞允許攻擊者繞過正常權限,執行一系列敏感操作,最終甚至可以在服務器上執行任意PHP代碼。這意味著,一旦攻擊者成功上傳Web Shell,他們就能在/uploads/files/目錄下找到并執行它,從而可能導致服務器數據泄露,甚至引發更為嚴重的安全問題。
令人擔憂的是,盡管修復方案早已存在,但根據VulnCheck的全網掃描結果,僅有1%的ProjectSend服務器更新到了最新的r1750版本,而剩下的99%仍然運行著無法檢測到版本號的舊版本,或是存在漏洞的r1605版本。這一數據無疑加劇了安全風險的嚴峻性。
鑒于該漏洞的廣泛利用風險,VulnCheck強烈建議所有使用ProjectSend的用戶盡快升級至最新版本,并應用最新的補丁程序,以確保系統的安全性。這一提醒無疑是對當前嚴峻安全形勢的及時回應,也是對所有用戶的負責。
