ProjectSend漏洞高危！9.8分威脅需緊急更新，你的服務器安全嗎？

近期，開源文件共享平臺ProjectSend的安全性問題引發(fā)了廣泛關注。據(jù)悉，該平臺存在一個極為嚴重的安全漏洞，其CVSS評分高達9.8，表明該漏洞具有極高的危險等級。根據(jù)VulnCheck的調查結果，這一漏洞很可能已被惡意勢力所利用。

ProjectSend作為一個允許用戶在自有服務器上部署的程序，旨在為用戶提供便捷的文件共享功能。然而，正是這一功能強大的應用，如今卻面臨著嚴峻的安全挑戰(zhàn)。

追溯該漏洞的歷史，我們發(fā)現(xiàn)在2023年5月，這一漏洞的修復方案已被提交。但遺憾的是，直到2024年8月發(fā)布的r1720版本中，這一修復才正式得以應用。而直到2024年11月26日，該漏洞才被正式分配了CVE標識符，即CVE-2024-11680。

VulnCheck在早前的報告中指出，他們在ProjectSend的r1605版本中發(fā)現(xiàn)了一個重大的安全問題——不適當?shù)氖跈鄼z查。這一問題使得攻擊者能夠執(zhí)行敏感操作，甚至能夠在托管應用程序的服務器上執(zhí)行任意PHP代碼。這一發(fā)現(xiàn)無疑為ProjectSend的安全防線撕開了一道巨大的裂口。

更為嚴重的是，如果攻擊者成功上傳了Web Shell，他們便可以在分享站點的特定目錄下找到并執(zhí)行它。這不僅可能導致服務器數(shù)據(jù)的泄露，還可能引發(fā)更多具有破壞性的操作。想象一下，如果這些數(shù)據(jù)涉及商業(yè)機密或個人隱私，那么后果將不堪設想。

然而，令人擔憂的是，盡管這一漏洞的修復方案早已存在，但ProjectSend用戶的更新速度卻遠遠跟不上。根據(jù)VulnCheck的全網掃描結果，僅有1%安裝了ProjectSend的服務器更新到了最新的r1750版。而剩下的99%的機器，要么運行著無法檢測到版本號的版本，要么仍在使用存在漏洞的r1605版。

面對這一嚴峻形勢，VulnCheck強烈建議所有ProjectSend用戶盡快應用最新的補丁程序。畢竟，在這個數(shù)字化時代，信息安全無小事。只有時刻保持警惕，才能確保我們的數(shù)據(jù)和隱私不被侵犯。