11月29日消息,盡快開(kāi)源文件共享應(yīng)用程序ProjectSend被曝出存在嚴(yán)重的更新共享安全漏洞,CVSS評(píng)分高達(dá)9.8分,開(kāi)源VulnCheck調(diào)查結(jié)果顯示,文件這個(gè)漏洞很可能已經(jīng)被惡意利用。軟件 ProjectSend允許用戶在自己的出嚴(yán)服務(wù)器上部署程序,以便構(gòu)建文件共享功能,重漏方便與其他用戶或客戶分享文件。洞評(píng)達(dá)已 該漏洞最初在2023年5月的分高提交中被修復(fù),直到2024年8月r1720版本發(fā)布后才正式可用,被利2024年11月26日,盡快該漏洞被分配了CVE標(biāo)識(shí)符CVE-2024-11680。更新共享 VulnCheck在7月發(fā)布的開(kāi)源報(bào)告中提到,在ProjectSend的文件r1605版本中發(fā)現(xiàn)了一個(gè)不適當(dāng)?shù)氖跈?quán)檢查,允許攻擊者執(zhí)行敏感操作,軟件最終允許在托管應(yīng)用程序的服務(wù)器上執(zhí)行任意PHP代碼。 如果攻擊者上傳了Web Shell則可以在分享站點(diǎn)的/uploads/files/找到它并執(zhí)行,這有可能會(huì)造成服務(wù)器數(shù)據(jù)泄露或更多危害性操作。 至于為何又要專門發(fā)布報(bào)告,因?yàn)槿W(wǎng)掃描發(fā)現(xiàn)僅1%安裝了ProjectSend的服務(wù)器更新到了r1750版,其他99%的機(jī)器都還在運(yùn)行無(wú)法檢測(cè)到版本號(hào)的版本或者r1605版。 VulnCheck表示,鑒于該漏洞似乎被廣泛利用,建議用戶盡快應(yīng)用最新的補(bǔ)丁程序。 |