ProjectSend开源文件共享应用程序存在一个关键安全漏洞，该漏洞可能已被恶意利用。该漏洞允许攻击者在易受影响的服务器上执行任意PHP代码，包括启用用户注册、自动验证和添加文件上传白名单等操作。VulnCheck发现未知威胁行为者利用该漏洞，目标是面向公众的ProjectSend服务器，并已启用用户注册以获取后续权限。该漏洞于2023年1月被报告，但直到2024年8月才正式修复，目前仅有1%的服务器使用了修复版本。建议用户尽快更新到最新版本以减轻安全风险。

🤔 **ProjectSend开源文件共享应用存在关键安全漏洞CVE-2024-11680，CVSS评分高达9.8，可能已被恶意利用。** 该漏洞允许攻击者执行任意PHP代码，例如启用用户注册、自动验证或修改文件上传白名单等操作，存在极大的安全风险。

⚠️ **漏洞源于不当的授权检查，攻击者可执行敏感操作。** Synacktiv在2023年1月报告了该漏洞，指出其允许攻击者执行敏感操作，例如启用用户注册和自动验证，或在上传文件允许扩展名的白名单中添加新条目。

🔎 **攻击者利用漏洞执行任意PHP代码，甚至上传网络外壳。** VulnCheck观察到攻击者利用Project Discovery和Rapid7发布的漏洞利用代码，针对面向公众的ProjectSend服务器发起攻击，并尝试启用用户注册以获取后续权限。

📊 **仅有1%的服务器使用了已打补丁的版本。** 对约4000台暴露在互联网上的ProjectSend服务器进行分析发现，只有1%的服务器使用了已修复的版本（r1750），其余服务器运行的版本要么未命名，要么是存在漏洞的r1605版本。

🛡️ **建议用户尽快应用最新补丁程序以减轻安全风险。** 由于该漏洞被广泛利用，建议用户尽快将ProjectSend更新到最新版本（r1750及以上），以减轻主动威胁，保障系统安全。

根据VulnCheck的调查结果，一个影响ProjectSend开源文件共享应用程序的关键安全漏洞很可能已被恶意利用。该漏洞最初是在一年半前作为 2023 年 5 月推送的提交的一部分修补的，直到 2024 年 8 月发布 r1720 版本后才正式可用。截至 2024 年 11 月 26 日，该漏洞已被指定为 CVE 标识符 CVE-2024-11680（CVSS 得分：9.8）。Synacktiv 于 2023 年 1 月向项目维护者报告了该漏洞，并将其描述为一个不当的授权检查，允许攻击者在易受影响的服务器上执行恶意代码。该公司在 2024 年 7 月发布的一份报告中说：“在 ProjectSend r1605 版本中发现了一个不适当的授权检查，允许攻击者执行敏感操作，如启用用户注册和自动验证，或在上传文件允许扩展名的白名单中添加新条目。”“最终，这允许在托管应用程序的服务器上执行任意 PHP 代码。”VulnCheck 说，它观察到未知威胁行为者利用 Project Discovery 和 Rapid7 发布的漏洞利用代码，以面向公众的 ProjectSend 服务器为目标。据信，这些利用尝试始于 2024 年 9 月。还发现这些攻击启用了用户注册功能，以获得认证后权限进行后续利用，这表明它们并不局限于扫描易受攻击的实例。VulnCheck的Jacob Baines说：“我们很可能已经进入了‘攻击者安装网络外壳’的领域（从技术上讲，该漏洞也允许攻击者嵌入恶意JavaScript，这可能是一个有趣的、不同的攻击场景）。”“如果攻击者上传了网络外壳，就可以在网络根目录下的 upload/files/ 中找到它。”对大约 4000 台暴露在互联网上的 ProjectSend 服务器进行的分析表明，其中仅有 1%的服务器使用的是已打补丁的版本（r1750），其余所有实例运行的要么是未命名的版本，要么是 2022 年 10 月发布的 r1605 版本。鉴于该漏洞似乎被广泛利用，建议用户尽快应用最新的补丁程序，以减轻主动威胁。