近期，一款備受歡迎的開源文件共享軟件ProjectSend被曝存在一個(gè)重大安全隱患，其嚴(yán)重性令人擔(dān)憂，CVSS評分高達(dá)9.8，這意味著該漏洞一旦被利用，將帶來極其嚴(yán)重的后果。根據(jù)VulnCheck的調(diào)查結(jié)果，這一漏洞可能已經(jīng)落入不法分子的手中。

ProjectSend作為一個(gè)靈活的文件共享平臺(tái)，允許用戶在自己的服務(wù)器上部署，以便輕松實(shí)現(xiàn)文件分享功能，無論是內(nèi)部團(tuán)隊(duì)協(xié)作還是對外客戶服務(wù)，都顯得尤為便捷。

回溯到2023年5月，這一漏洞的修復(fù)方案就已經(jīng)被提出，但直到2024年8月發(fā)布的r1720版本中，這一修復(fù)才正式得以應(yīng)用。而直到2024年11月26日，該漏洞才被正式賦予CVE標(biāo)識(shí)符——CVE-2024-11680。

VulnCheck在7月份的報(bào)告中詳細(xì)披露了漏洞的具體細(xì)節(jié)。在ProjectSend的r1605版本中，研究人員發(fā)現(xiàn)了一個(gè)關(guān)鍵的授權(quán)檢查漏洞，該漏洞允許攻擊者繞過正常權(quán)限，執(zhí)行一系列敏感操作，最終甚至可以在服務(wù)器上執(zhí)行任意PHP代碼。這意味著，一旦攻擊者成功上傳Web Shell，他們就能在/uploads/files/目錄下找到并執(zhí)行它，從而可能導(dǎo)致服務(wù)器數(shù)據(jù)泄露，甚至引發(fā)更為嚴(yán)重的安全問題。

令人擔(dān)憂的是，盡管修復(fù)方案早已存在，但根據(jù)VulnCheck的全網(wǎng)掃描結(jié)果，僅有1%的ProjectSend服務(wù)器更新到了最新的r1750版本，而剩下的99%仍然運(yùn)行著無法檢測到版本號(hào)的舊版本，或是存在漏洞的r1605版本。這一數(shù)據(jù)無疑加劇了安全風(fēng)險(xiǎn)的嚴(yán)峻性。

鑒于該漏洞的廣泛利用風(fēng)險(xiǎn)，VulnCheck強(qiáng)烈建議所有使用ProjectSend的用戶盡快升級(jí)至最新版本，并應(yīng)用最新的補(bǔ)丁程序，以確保系統(tǒng)的安全性。這一提醒無疑是對當(dāng)前嚴(yán)峻安全形勢的及時(shí)回應(yīng)，也是對所有用戶的負(fù)責(zé)。