近日，黑客發現了ProjectSend中的一項重大安全隱患——CVE-2024-11680認證漏洞，該漏洞允許他們通過發送精心構造的HTTP請求至'options.php'文件，篡改應用程序配置。此漏洞最初于2023年5月被修復，但直至最近才被正式編號為CVE-2024-11680，導致大量用戶未能及時察覺其潛在威脅。

ProjectSend是一個功能強大且易于使用的免費開源文件共享平臺，專注于提供安全、私密的文件傳輸服務，適合項目團隊和企業使用。一旦成功利用此漏洞，黑客便能輕松創建惡意賬戶、植入webshell，甚至嵌入危險的JavaScript代碼。據最新報告，目前仍有高達99%的ProjectSend實例運行在未修復漏洞的版本上，凸顯出補丁部署的滯后性。

全球范圍內，約有4000個公開的ProjectSend實例正面臨此風險，其中超過半數（55%）仍在使用2022年10月發布的r1605版本，而僅有1%的用戶升級至最新的r1750版本。自2024年9月以來，隨著Metasploit和Nuclei等安全工具發布針對此漏洞的利用腳本，相關攻擊事件已顯著激增。

黑客通過修改受害者的配置文件，如更改網站名稱并添加隨機字符串，以掩蓋其攻擊痕跡。這些webshell被藏匿于'upload/files'目錄下，直接訪問這些文件即可證明攻擊正在進行中。因此，強烈建議所有用戶盡快升級至ProjectSend r1750版本，以有效抵御潛在的黑客攻擊。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明