ProjectSend是个开源免费的文件共享应用程序,用户可以在自己的服务器上部署该程序从而构建文件共享功能,方便与其他用户或客户分享文件。日前安全公司发布报告透露该程序的一个高危安全漏洞可能已经遭到黑客的广泛利用,攻击者借助漏洞可以在服务器上执行任意代码。
最初漏洞于2023年5月提交并开始修复,直到2024年8月的r1720版发布后才完成修复,截止至2024年11月26日漏洞被分配编号为CVE-2024-11680,CVSS评分高达9.8/10分。
漏洞发生原因则是不恰当的授权检查,这允许攻击者执行敏感操作例如启用用户自动注册或自动验证,或者在允许上传文件的扩展白名单中添加新条目等。
最终攻击者可以借助漏洞在目标服务器上执行任意PHP代码,这应该属于WebShell范畴,因为从技术上说攻击者还能嵌入恶意JavaScript脚本实现不同的攻击目的。
如果攻击者上传了WebShell则可以在分享站点的/uploads/files/找到它并执行,这有可能会造成服务器数据泄露或更多危害性操作。
为什么安全公司要特地发个报告说呢?因为全网扫描发现仅有1%的安装ProjectSend的服务器更新了到了r1750版,其他99%的机器都还在运行无法检测到版本号的版本或者r1605版。
所以如果你或者你的公司使用ProjectSend那需要立即去升级,防止被黑客也扫描到后进行针对性攻击。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】