ProjectSend高危漏洞曝光：你的服務(wù)器安全嗎？

近期，安全研究人員揭露了開源文件共享平臺(tái)ProjectSend中存在的一項(xiàng)高危安全漏洞，該漏洞的嚴(yán)重性被CVSS（通用漏洞評(píng)分系統(tǒng)）評(píng)定為9.8分，屬于極為危險(xiǎn)的級(jí)別。據(jù)可靠消息，這一漏洞可能已被黑客組織惡意利用。

ProjectSend作為一個(gè)流行的開源工具，允許用戶在其服務(wù)器上輕松部署文件共享功能，便于文件的安全傳輸與共享。然而，安全漏洞的出現(xiàn)打破了這一平靜。據(jù)了解，首個(gè)針對(duì)該漏洞的補(bǔ)丁雖然在2023年5月就被提交，但直至2024年8月的r1720版本發(fā)布，這一補(bǔ)丁才正式被納入。

2024年11月26日，該漏洞被正式分配了CVE標(biāo)識(shí)符CVE-2024-11680?；厮葜?024年7月，安全機(jī)構(gòu)VulnCheck發(fā)布的一份報(bào)告顯示，在ProjectSend的r1605版本中，存在一個(gè)嚴(yán)重的權(quán)限驗(yàn)證漏洞。這一漏洞允許攻擊者繞過正常的授權(quán)檢查，執(zhí)行一系列敏感操作，最終能夠在服務(wù)器上執(zhí)行任意PHP代碼。

更令人擔(dān)憂的是，一旦攻擊者成功上傳Web Shell，他們可以輕松地在分享站點(diǎn)的/uploads/files/目錄下找到并執(zhí)行該惡意腳本。這不僅可能導(dǎo)致服務(wù)器上的敏感數(shù)據(jù)被泄露，還可能引發(fā)更為嚴(yán)重的安全事件。

盡管這一漏洞已經(jīng)引起了廣泛的關(guān)注與討論，但VulnCheck的統(tǒng)計(jì)數(shù)據(jù)卻顯示出一個(gè)嚴(yán)峻的現(xiàn)實(shí)：僅有約1%的服務(wù)器安裝了ProjectSend的最新版本r1750，而剩余的99%服務(wù)器仍在使用可能存在漏洞的舊版本，甚至包括存在嚴(yán)重問題的r1605版本。這一現(xiàn)狀無疑增加了服務(wù)器遭受攻擊的風(fēng)險(xiǎn)。

鑒于該漏洞可能已被廣泛利用，VulnCheck強(qiáng)烈建議所有使用ProjectSend的用戶立即采取措施，應(yīng)用最新的補(bǔ)丁程序，以確保其服務(wù)器的安全。這一建議對(duì)于防止?jié)撛诘臄?shù)據(jù)泄露和更嚴(yán)重的安全事件至關(guān)重要。