近期，開(kāi)源文件共享平臺(tái)ProjectSend的安全性問(wèn)題引發(fā)了廣泛關(guān)注。據(jù)悉，該平臺(tái)存在一個(gè)極為嚴(yán)重的安全漏洞，其CVSS評(píng)分高達(dá)9.8，表明該漏洞具有極高的危險(xiǎn)等級(jí)。根據(jù)VulnCheck的調(diào)查結(jié)果，這一漏洞很可能已被惡意勢(shì)力所利用。

ProjectSend作為一個(gè)允許用戶在自有服務(wù)器上部署的程序，旨在為用戶提供便捷的文件共享功能。然而，正是這一功能強(qiáng)大的應(yīng)用，如今卻面臨著嚴(yán)峻的安全挑戰(zhàn)。

追溯該漏洞的歷史，我們發(fā)現(xiàn)在2023年5月，這一漏洞的修復(fù)方案已被提交。但遺憾的是，直到2024年8月發(fā)布的r1720版本中，這一修復(fù)才正式得以應(yīng)用。而直到2024年11月26日，該漏洞才被正式分配了CVE標(biāo)識(shí)符，即CVE-2024-11680。

VulnCheck在早前的報(bào)告中指出，他們?cè)赑rojectSend的r1605版本中發(fā)現(xiàn)了一個(gè)重大的安全問(wèn)題——不適當(dāng)?shù)氖跈?quán)檢查。這一問(wèn)題使得攻擊者能夠執(zhí)行敏感操作，甚至能夠在托管應(yīng)用程序的服務(wù)器上執(zhí)行任意PHP代碼。這一發(fā)現(xiàn)無(wú)疑為ProjectSend的安全防線撕開(kāi)了一道巨大的裂口。

更為嚴(yán)重的是，如果攻擊者成功上傳了Web Shell，他們便可以在分享站點(diǎn)的特定目錄下找到并執(zhí)行它。這不僅可能導(dǎo)致服務(wù)器數(shù)據(jù)的泄露，還可能引發(fā)更多具有破壞性的操作。想象一下，如果這些數(shù)據(jù)涉及商業(yè)機(jī)密或個(gè)人隱私，那么后果將不堪設(shè)想。

然而，令人擔(dān)憂的是，盡管這一漏洞的修復(fù)方案早已存在，但ProjectSend用戶的更新速度卻遠(yuǎn)遠(yuǎn)跟不上。根據(jù)VulnCheck的全網(wǎng)掃描結(jié)果，僅有1%安裝了ProjectSend的服務(wù)器更新到了最新的r1750版。而剩下的99%的機(jī)器，要么運(yùn)行著無(wú)法檢測(cè)到版本號(hào)的版本，要么仍在使用存在漏洞的r1605版。

面對(duì)這一嚴(yán)峻形勢(shì)，VulnCheck強(qiáng)烈建議所有ProjectSend用戶盡快應(yīng)用最新的補(bǔ)丁程序。畢竟，在這個(gè)數(shù)字化時(shí)代，信息安全無(wú)小事。只有時(shí)刻保持警惕，才能確保我們的數(shù)據(jù)和隱私不被侵犯。