Исследователи предупредили об используемой хакерами критической уязвимости ProjectSend

Специалисты по безопасности предупреждают, что злоумышленники активно эксплуатируют критическую уязвимость в широко распространенном приложении для обмена файлами с открытым исходным кодом.
Исследователи предупредили об используемой хакерами критической уязвимости ProjectSend

Исследователи предупредили об используемой хакерами критической уязвимости ProjectSend. Фото: СС0

В отчете платформы анализа уязвимостей VulnCheck говорится, что потенциально тысячи экземпляров ProjectSend подвержены серьезной уязвимости, получившей оценку 9,8 по шкале CVSS.

ProjectSend — это веб-приложение для обмена файлами с открытым исходным кодом, используемое компаниями для безопасного обмена файлами с клиентами. VulnChecks описывает его как «умеренно популярное» с 1,5 тыс. звездами на GitHub и более чем 4 тыс. экземпляров, проиндексированных Censys.

Уязвимость CVE-2024-11680 представляет собой проблему ненадлежащей аутентификации, которую могут использовать удаленные злоумышленники с помощью специально созданных HTTP- запросов, что позволяет несанкционированно изменять конфигурацию приложения.

В описании NVD предупреждается, что успешная эксплуатация может позволить злоумышленникам создавать учетные записи, загружать веб-шеллы и встраивать вредоносный ЯваСкрипт. Первоначально проблема была обнаружена исследователями из Synacktiv, которые сообщили о уязвимости ProjectSend в январе 2023 года.

В предупреждении, выпущенном Synacktiv в июле 2024 года, говорится, что уязвимость может позволить злоумышленникам выполнять конфиденциальные действия, такие как включение регистрации пользователей и автоматической проверки или добавление новых записей в белый список разрешенных расширений для загружаемых файлов.

В конечном итоге это позволит злоумышленникам выполнить произвольный PHP-код на сервере, на котором размещено приложение.

Проблема затрагивает версии ProjectSend до r1720, при этом в VulnCheck отмечают, что, хотя информация о CVE была опубликована несколько дней назад, 26 ноября 2024 года, патч, нейтрализующий флаг, доступен уже более года и выпущен 16 мая 2023 года.

Больше интересного

Актуальное

Обнаружен первый вредоносный UEFI-буткит для Linux
Библиотека XMLRPC npm крадет данные и развертывает криптомайнер
В Alibaba представили модель ИИ «рассуждения» QwQ-32B-Preview
Ещё…