【在野利用】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)安全风险通告

主要观点总结

这篇文章描述了一个针对ProjectSend应用程序的身份认证绕过漏洞（CVE-2024-11680），该漏洞允许远程未经身份验证的攻击者通过发送精心设计的HTTP请求来修改应用程序的配置，并可能造成恶意代码嵌入、开启创建帐户功能以及上传webshell等危害。影响范围涉及全球多个资产。

关键观点总结

关键观点1: 漏洞概述

ProjectSend存在一个身份认证绕过漏洞（CVE-2024-11680），攻击者可利用此漏洞未经授权修改应用配置。

关键观点2: 影响范围

影响的是ProjectSend < r1720版本，官方已有可更新版本，建议用户升级至最新版本以避免风险。

关键观点3: 漏洞危害

攻击者可嵌入恶意代码、开启创建帐户功能并上传webshell，存在较大的安全风险。

关键观点4: 风险资产情况

ProjectSend身份认证绕过漏洞关联的全球风险资产总数为10068个，分布广泛。

文章预览

●  点击↑蓝字关注我们，获取更多安全风险通告 漏洞概述 漏洞名称 ProjectSend 身份认证绕过漏洞 漏洞编号 QVD-2024-48602,CVE-2024-11680 公开时间 2024-11-26 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 身份认证绕过 利用可能性 高 POC状态 已公开 在野利用状态 已发现 EXP状态 已公开 技术细节状态 已公开 危害描述： 远程未经身份验证的攻击者可以通过向 options.php 发送精心设计的 HTTP 请求来利用此漏洞，从而在未经授权的情况下修改应用程序的配置。成功利用此漏洞后，攻击者可嵌入恶意代码、开启创建帐户功能并上传 webshell。 0 1 漏洞详情 > > > > 影响组件 ProjectSend 是一个开源文件共享网络应用程序，旨在促进服务器管理员和客户端之间的安全、私密文件传输。它是一款相当流行的应用程序，被更喜欢自托管解决方案而不是 Google Drive 和 Dropbox ………………………………