近期,一款備受歡迎的開源文件共享軟件ProjectSend被曝存在一個重大安全隱患,其嚴(yán)重性令人擔(dān)憂,CVSS評分高達(dá)9.8,這意味著該漏洞一旦被利用,將帶來極其嚴(yán)重的后果。根據(jù)VulnCheck的調(diào)查結(jié)果,這一漏洞可能已經(jīng)落入不法分子的手中。
ProjectSend作為一個靈活的文件共享平臺,允許用戶在自己的服務(wù)器上部署,以便輕松實現(xiàn)文件分享功能,無論是內(nèi)部團(tuán)隊協(xié)作還是對外客戶服務(wù),都顯得尤為便捷。
回溯到2023年5月,這一漏洞的修復(fù)方案就已經(jīng)被提出,但直到2024年8月發(fā)布的r1720版本中,這一修復(fù)才正式得以應(yīng)用。而直到2024年11月26日,該漏洞才被正式賦予CVE標(biāo)識符——CVE-2024-11680。
VulnCheck在7月份的報告中詳細(xì)披露了漏洞的具體細(xì)節(jié)。在ProjectSend的r1605版本中,研究人員發(fā)現(xiàn)了一個關(guān)鍵的授權(quán)檢查漏洞,該漏洞允許攻擊者繞過正常權(quán)限,執(zhí)行一系列敏感操作,最終甚至可以在服務(wù)器上執(zhí)行任意PHP代碼。這意味著,一旦攻擊者成功上傳Web Shell,他們就能在/uploads/files/目錄下找到并執(zhí)行它,從而可能導(dǎo)致服務(wù)器數(shù)據(jù)泄露,甚至引發(fā)更為嚴(yán)重的安全問題。
令人擔(dān)憂的是,盡管修復(fù)方案早已存在,但根據(jù)VulnCheck的全網(wǎng)掃描結(jié)果,僅有1%的ProjectSend服務(wù)器更新到了最新的r1750版本,而剩下的99%仍然運(yùn)行著無法檢測到版本號的舊版本,或是存在漏洞的r1605版本。這一數(shù)據(jù)無疑加劇了安全風(fēng)險的嚴(yán)峻性。
鑒于該漏洞的廣泛利用風(fēng)險,VulnCheck強(qiáng)烈建議所有使用ProjectSend的用戶盡快升級至最新版本,并應(yīng)用最新的補(bǔ)丁程序,以確保系統(tǒng)的安全性。這一提醒無疑是對當(dāng)前嚴(yán)峻安全形勢的及時回應(yīng),也是對所有用戶的負(fù)責(zé)。
