11月29日消息�,開源文件共享應(yīng)用程序ProjectSend被曝出存在嚴(yán)重的安全漏洞,CVSS評(píng)分高達(dá)9.8分��,VulnCheck調(diào)查結(jié)果顯示����,這個(gè)漏洞很可能已經(jīng)被惡意利用。
ProjectSend允許用戶在自己的服務(wù)器上部署程序�,以便構(gòu)建文件共享功能,方便與其他用戶或客戶分享文件����。
該漏洞最初在2023年5月的提交中被修復(fù),直到2024年8月r1720版本發(fā)布后才正式可用����,2024年11月26日,該漏洞被分配了CVE標(biāo)識(shí)符CVE-2024-11680���。
VulnCheck在7月發(fā)布的報(bào)告中提到���,在ProjectSend的r1605版本中發(fā)現(xiàn)了一個(gè)不適當(dāng)?shù)氖跈?quán)檢查,允許攻擊者執(zhí)行敏感操作�����,最終允許在托管應(yīng)用程序的服務(wù)器上執(zhí)行任意PHP代碼���。
如果攻擊者上傳了Web Shell則可以在分享站點(diǎn)的/uploads/files/找到它并執(zhí)行�����,這有可能會(huì)造成服務(wù)器數(shù)據(jù)泄露或更多危害性操作����。
至于為何又要專門發(fā)布報(bào)告�����,因?yàn)槿W(wǎng)掃描發(fā)現(xiàn)僅1%安裝了ProjectSend的服務(wù)器更新到了r1750版���,其他99%的機(jī)器都還在運(yùn)行無(wú)法檢測(cè)到版本號(hào)的版本或者r1605版��。
VulnCheck表示��,鑒于該漏洞似乎被廣泛利用��,建議用戶盡快應(yīng)用最新的補(bǔ)丁程序��。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待���。投資者據(jù)此操作���,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號(hào)