近日，黑客發(fā)現(xiàn)了ProjectSend中的一項(xiàng)重大安全隱患——CVE-2024-11680認(rèn)證漏洞，該漏洞允許他們通過發(fā)送精心構(gòu)造的HTTP請求至'options.php'文件，篡改應(yīng)用程序配置。此漏洞最初于2023年5月被修復(fù)，但直至最近才被正式編號為CVE-2024-11680，導(dǎo)致大量用戶未能及時(shí)察覺其潛在威脅。

ProjectSend是一個(gè)功能強(qiáng)大且易于使用的免費(fèi)開源文件共享平臺，專注于提供安全、私密的文件傳輸服務(wù)，適合項(xiàng)目團(tuán)隊(duì)和企業(yè)使用。一旦成功利用此漏洞，黑客便能輕松創(chuàng)建惡意賬戶、植入webshell，甚至嵌入危險(xiǎn)的JavaScript代碼。據(jù)最新報(bào)告，目前仍有高達(dá)99%的ProjectSend實(shí)例運(yùn)行在未修復(fù)漏洞的版本上，凸顯出補(bǔ)丁部署的滯后性。

全球范圍內(nèi)，約有4000個(gè)公開的ProjectSend實(shí)例正面臨此風(fēng)險(xiǎn)，其中超過半數(shù)（55%）仍在使用2022年10月發(fā)布的r1605版本，而僅有1%的用戶升級至最新的r1750版本。自2024年9月以來，隨著Metasploit和Nuclei等安全工具發(fā)布針對此漏洞的利用腳本，相關(guān)攻擊事件已顯著激增。

黑客通過修改受害者的配置文件，如更改網(wǎng)站名稱并添加隨機(jī)字符串，以掩蓋其攻擊痕跡。這些webshell被藏匿于'upload/files'目錄下，直接訪問這些文件即可證明攻擊正在進(jìn)行中。因此，強(qiáng)烈建議所有用戶盡快升級至ProjectSend r1750版本，以有效抵御潛在的黑客攻擊。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明