ProjectSend漏洞遭黑客利用,服务器暴露面临风险

作者:互联网 发布时间:2024-12-02 10:26:34 浏览次数:68

近日,黑客发现了ProjectSend中的一项重大安全隐患——CVE-2024-11680认证漏洞,该漏洞允许他们通过发送精心构造的HTTP请求至'options.php'文件,篡改应用程序配置。此漏洞最初于2023年5月被修复,但直至最近才被正式编号为CVE-2024-11680,导致大量用户未能及时察觉其潜在威胁。

ProjectSend是一个功能强大且易于使用的免费开源文件共享平台,专注于提供安全、私密的文件传输服务,适合项目团队和企业使用。一旦成功利用此漏洞,黑客便能轻松创建恶意账户、植入webshell,甚至嵌入危险的JavaScript代码。据最新报告,目前仍有高达99%的ProjectSend实例运行在未修复漏洞的版本上,凸显出补丁部署的滞后性。

全球范围内,约有4000个公开的ProjectSend实例正面临此风险,其中超过半数(55%)仍在使用2022年10月发布的r1605版本,而仅有1%的用户升级至最新的r1750版本。自2024年9月以来,随着Metasploit和Nuclei等安全工具发布针对此漏洞的利用脚本,相关攻击事件已显著激增。

黑客通过修改受害者的配置文件,如更改网站名称并添加随机字符串,以掩盖其攻击痕迹。这些webshell被藏匿于'upload/files'目录下,直接访问这些文件即可证明攻击正在进行中。因此,强烈建议所有用户尽快升级至ProjectSend r1750版本,以有效抵御潜在的黑客攻击。

及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用

本文来源:互联网

如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明