Исследователи предупредили об используемой хакерами критической уязвимости ProjectSend
Исследователи предупредили об используемой хакерами критической уязвимости ProjectSend. Фото: СС0
В отчете платформы анализа уязвимостей VulnCheck говорится, что потенциально тысячи экземпляров ProjectSend подвержены серьезной уязвимости, получившей оценку 9,8 по шкале CVSS.
ProjectSend — это веб-приложение для обмена файлами с открытым исходным кодом, используемое компаниями для безопасного обмена файлами с клиентами. VulnChecks описывает его как «умеренно популярное» с 1,5 тыс. звездами на GitHub и более чем 4 тыс. экземпляров, проиндексированных Censys.
Уязвимость CVE-2024-11680 представляет собой проблему ненадлежащей аутентификации, которую могут использовать удаленные злоумышленники с помощью специально созданных HTTP- запросов, что позволяет несанкционированно изменять конфигурацию приложения.
В описании NVD предупреждается, что успешная эксплуатация может позволить злоумышленникам создавать учетные записи, загружать веб-шеллы и встраивать вредоносный ЯваСкрипт. Первоначально проблема была обнаружена исследователями из Synacktiv, которые сообщили о уязвимости ProjectSend в январе 2023 года.
В предупреждении, выпущенном Synacktiv в июле 2024 года, говорится, что уязвимость может позволить злоумышленникам выполнять конфиденциальные действия, такие как включение регистрации пользователей и автоматической проверки или добавление новых записей в белый список разрешенных расширений для загружаемых файлов.
В конечном итоге это позволит злоумышленникам выполнить произвольный PHP-код на сервере, на котором размещено приложение.
Проблема затрагивает версии ProjectSend до r1720, при этом в VulnCheck отмечают, что, хотя информация о CVE была опубликована несколько дней назад, 26 ноября 2024 года, патч, нейтрализующий флаг, доступен уже более года и выпущен 16 мая 2023 года.
Комментариев пока не было