ProjectSend是一个开源文件共享Web应用程序,旨在促进服务器管理员和客户端之间的安全、私密文件传输。
近日,监测ProjectSend身份验证绕过漏洞(CVE-2024-11680)。ProjectSend r1720 之前版本中存在身份验证绕过漏洞,未经身份验证的远程攻击者可通过向options.php发送恶意构造的HTTP POST请求来利用该漏洞,成功利用可能导致更改站点配置(比如修改站点标题、启用用户注册等)、上传恶意文件(WebShell)或注入恶意 JavaScript。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻
二、影响范围
ProjectSend < r1720
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:ProjectSend >= r1720