【在野利用】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)安全风险通告

主要观点总结

这篇文章描述了一个针对ProjectSend应用程序的身份认证绕过漏洞（CVE-2024-11680），该漏洞允许远程未经身份验证的攻击者通过发送精心设计的HTTP请求来修改应用程序的配置，并可能造成恶意代码嵌入、开启创建帐户功能以及上传webshell等危害。影响范围涉及全球多个资产。

关键观点总结

关键观点1: 漏洞概述

ProjectSend存在一个身份认证绕过漏洞（CVE-2024-11680），攻击者可利用此漏洞未经授权修改应用配置。

关键观点2: 影响范围

影响的是ProjectSend < r1720版本，官方已有可更新版本，建议用户升级至最新版本以避免风险。

关键观点3: 漏洞危害

攻击者可嵌入恶意代码、开启创建帐户功能并上传webshell，存在较大的安全风险。

关键观点4: 风险资产情况

ProjectSend身份认证绕过漏洞关联的全球风险资产总数为10068个，分布广泛。

正文

请到「今天看啥」查看全文

在野利用状态

已发现

EXP状态

已公开

技术细节状态

已公开

危害描述： 远程未经身份验证的攻击者可以通过向 options.php 发送精心设计的 HTTP 请求来利用此漏洞，从而在未经授权的情况下修改应用程序的配置。成功利用此漏洞后，攻击者可嵌入恶意代码、开启创建帐户功能并上传 webshell。

0 1

漏洞详情

> > > >

影响组件

ProjectSend 是一个开源文件共享网络应用程序，旨在促进服务器管理员和客户端之间的安全、私密文件传输。它是一款相当流行的应用程序，被更喜欢自托管解决方案而不是 Google Drive 和 Dropbox 等第三方服务的组织使用。

>

请到「今天看啥」查看全文