【在野利用】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)安全风险通告
2024-11-28 11:45:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

● 点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

ProjectSend 身份认证绕过漏洞

漏洞编号

QVD-2024-48602,CVE-2024-11680

公开时间

2024-11-26

影响量级

万级

奇安信评级

高危

CVSS 3.1分数

9.8

威胁类型

身份认证绕过

利用可能性

POC状态

已公开

在野利用状态

已发现

EXP状态

已公开

技术细节状态

已公开

危害描述:远程未经身份验证的攻击者可以通过向 options.php 发送精心设计的 HTTP 请求来利用此漏洞,从而在未经授权的情况下修改应用程序的配置。成功利用此漏洞后,攻击者可嵌入恶意代码、开启创建帐户功能并上传 webshell。

01
漏洞详情
>>>>

影响组件

ProjectSend 是一个开源文件共享网络应用程序,旨在促进服务器管理员和客户端之间的安全、私密文件传输。它是一款相当流行的应用程序,被更喜欢自托管解决方案而不是 Google Drive 和 Dropbox 等第三方服务的组织使用。

>>>>

漏洞描述

近日,奇安信CERT监测到 VulnCheck 分配 CVE-2024-11680,ProjectSend r1720 之前的版本存在身份认证绕过漏洞。远程未经身份验证的攻击者可以通过向 options.php 发送精心设计的 HTTP 请求来利用此漏洞,从而在未经授权的情况下修改应用程序的配置。成功利用此漏洞后,攻击者可嵌入恶意代码、开启创建帐户功能并上传 webshell。鉴于此漏洞已发现在野利用,建议客户尽快做好自查及防护。

02
影响范围
>>>>

影响版本

ProjectSend < r1720

>>>>

其他受影响组件

03
受影响资产情况

奇安信鹰图资产测绘平台数据显示,ProjectSend 身份认证绕过漏洞(CVE-2024-11680)关联的全球风险资产总数为10068个,关联IP总数为2925个。全球风险资产分布情况如下:

04
处置建议
>>>>

安全更新

目前官方已有可更新版本,建议受影响用户升级至最新版本:

ProjectSend >= r1720

官方补丁下载地址:

https://github.com/projectsend/projectsend/commit/193367d937b1a59ed5b68dd4e60bd53317473744

https://github.com/projectsend/projectsend/releases/tag/r1720

05
参考资料

[1]https://vulncheck.com/blog/projectsend-exploited-itw

[2]https://www.securityweek.com/projectsend-vulnerability-exploited-in-the-wild/

[3]https://thehackernews.com/2024/11/critical-flaw-in-projectsend-under.html

[4]https://github.com/projectsend/projectsend/commit/193367d937b1a59ed5b68dd4e60bd53317473744

06
时间线

2024年11月28日,奇安信 CERT发布安全风险通告。

07
漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:

奇安信 CERT
致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。


文章来源: https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247502502&idx=1&sn=874d1d96ffd31643476939deced0fd4f&chksm=fe79ee3ec90e6728cb38cbc7cf03b5ac32273e1cc74442e830866650cc7551ccda12fd8ab98b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh