网络第5域

开源文件共享应用ProjectSend出现高危漏洞且遭到利用 用户应立即升级

字号+作者:蓝点网 来源:蓝点网 2024-11-29 13:37 评论(创建话题) 收藏成功收藏本文

ProjectSend是个开源免费的文件共享应用程序,用户可以在自己的服务器上部署该程序从而构建文件共享功能,方便与其他用户或客户分享文件。日前安全公司发'...

ProjectSend是个开源免费的文件共享应用程序,用户可以在自己的服务器上部署该程序从而构建文件共享功能,方便与其他用户或客户分享文件。日前安全公司发布报告透露该程序的一个高危安全漏洞可能已经遭到黑客的广泛利用,攻击者借助漏洞可以在服务器上执行任意代码。Tsw品论天涯网


Tsw品论天涯网

最初漏洞于2023年5月提交并开始修复,直到2024年8月的r1720版发布后才完成修复,截止至2024年11月26日漏洞被分配编号为CVE-2024-11680,CVSS评分高达9.8/10分。Tsw品论天涯网

漏洞发生原因则是不恰当的授权检查,这允许攻击者执行敏感操作例如启用用户自动注册或自动验证,或者在允许上传文件的扩展白名单中添加新条目等。Tsw品论天涯网

最终攻击者可以借助漏洞在目标服务器上执行任意PHP代码,这应该属于WebShell范畴,因为从技术上说攻击者还能嵌入恶意JavaScript脚本实现不同的攻击目的。Tsw品论天涯网

如果攻击者上传了WebShell则可以在分享站点的/uploads/files/找到它并执行,这有可能会造成服务器数据泄露或更多危害性操作。Tsw品论天涯网

为什么安全公司要特地发个报告说呢?因为全网扫描发现仅有1%的安装ProjectSend的服务器更新了到了r1750版,其他99%的机器都还在运行无法检测到版本号的版本或者r1605版。Tsw品论天涯网

Tsw品论天涯网

所以如果你或者你的公司使用ProjectSend那需要立即去升级,防止被黑客也扫描到后进行针对性攻击。Tsw品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]