开源文件共享应用程序ProjectSend被曝存在严重安全漏洞，CVSS评分9.8分。该漏洞可能已被恶意利用，2023年5月提交修复，2024年8月正式可用，11月被分配CVE标识符。漏洞允许攻击者执行敏感操作，可能导致服务器数据泄露等危害，多数服务器未更新补丁，建议用户尽快应用最新补丁程序。

🎯ProjectSend存在严重安全漏洞，CVSS评分9.8分

💻漏洞2023年5月提交修复，2024年8月可用

⚠️漏洞允许攻击者执行敏感操作，可能致数据泄露

📢多数服务器未更新补丁，存在安全隐患

快科技11月29日消息，开源文件共享应用程序ProjectSend被曝出存在严重的安全漏洞，CVSS评分高达9.8分，VulnCheck调查结果显示，这个漏洞很可能已经被恶意利用。

ProjectSend允许用户在自己的服务器上部署程序，以便构建文件共享功能，方便与其他用户或客户分享文件。

该漏洞最初在2023年5月的提交中被修复，直到2024年8月r1720版本发布后才正式可用，2024年11月26日，该漏洞被分配了CVE标识符CVE-2024-11680。

VulnCheck在7月发布的报告中提到，在ProjectSend的r1605版本中发现了一个不适当的授权检查，允许攻击者执行敏感操作，最终允许在托管应用程序的服务器上执行任意PHP代码。

如果攻击者上传了Web Shell则可以在分享站点的/uploads/files/找到它并执行，这有可能会造成服务器数据泄露或更多危害性操作。

至于为何又要专门发布报告，因为全网扫描发现仅1%安装了ProjectSend的服务器更新到了r1750版，其他99%的机器都还在运行无法检测到版本号的版本或者r1605版。

VulnCheck表示，鉴于该漏洞似乎被广泛利用，建议用户尽快应用最新的补丁程序。