11月29日,快科技发布消息称,开源文件共享工具ProjectSend曝出重大安全缺陷。CVSS评分高达9.8分,情况不容乐观。VulnCheck调查发现,该漏洞可能已被恶意利用,引发用户担忧。
漏洞详情
2023年5月,该漏洞便已修复并提交。然而,直至2024年8月r1720版本推出,该修复才被正式启用。2024年11月26日,该漏洞被赋予CVE-2024-11680标识。VulnCheck在7月检测到r1605版本存在权限校验问题,这允许攻击者执行敏感操作,进而于服务器上执行任意PHP代码。一旦攻击者上传WebShell,便能在指定位置找到并执行,严重情况下可导致服务器数据泄露。
从技术角度分析,此类重大安全缺陷可能损害服务器原有的稳定运行状态,一旦数据泄露,企业和个人用户都将面临重大损失,泄露内容可能包括关键文件或个人信息等。
应用功能
ProjectSend旨在为用户打造一个方便的文件共享平台。用户可在自设服务器上安装该程序,进而方便地与同僚或客户交换文件。这一特性对那些需频繁交流文件的行业尤其有用,如设计领域常需向客户提交设计草图供审核,科研团队亦需在内部传播研究成果等。
安全漏洞已现,犹如潜伏的定时炸弹,随时可能干扰功能的正常运行。对于依赖ProjectSend进行工作流程的用户而言,其工作流程可能会因数据安全风险而中断或彻底调整,这不仅带来不便,还可能造成业务利益上的损失。
版本情况
2024年8月发布的r1720版本对漏洞进行了修复。但现状不容乐观。全网扫描发现,仅有1%的ProjectSend服务器升级至r1750版。绝大多数,即99%的设备仍在使用无法识别版本号或r1605版的旧版本。这一低更新率表明,大部分用户正面临风险。许多用户可能未充分认识到问题的严重性,或未及时进行更新操作。
系统更新对用户而言可能带来不便,但与安全相比,其重要性显而易见。数据显示,开发团队在版本推广及更新通知方面可能不够到位,未能有效引起广大用户的高度关注。
可能危害
一旦服务器数据遭到泄露,其后果将难以预料。企业用户可能面临内部机密、财务信息及客户资源等关键资料外泄的风险,进而可能引发商业竞争的不公平现象,甚至可能遭受巨额资金损失。个人用户则可能遭受隐私泄露带来的骚扰和诈骗等风险。
泄露数据之外,黑客还可能实施其他具有破坏性的行为。他们或许会恶意修改文件内容,干扰服务器运作的正常逻辑。这种干扰将使得依赖服务器运作的业务无法进行,由此引发的损失将逐级累积。
报告再发原因
VulnCheck将再次发布报告,这一决定令人忧虑。数据显示,高达99%的设备未升级至安全版本,这一比例令人不安。众多服务器面临风险,但防范意识不足。报告的重新发布旨在警示用户。同时,据报告,漏洞已被广泛利用,这意味着更多未采取保护措施的服务器将面临极大威胁。
此次重复通报体现了负责任的态度。前期警示虽已发布,但并未获得足够的关注。期望通过此举,能唤醒更多用户,迅速安装最新的修补程序。
应对建议
VulnCheck推荐用户及时安装最新的修补程序。这一行为对用户至关重要。用户需迅速检查自身服务器状态。若发现仍在使用不安全版本,应立即停止拖延,依照官方指南迅速执行更新步骤。
读者们,若您使用ProjectSend,是否会在第一时间进行软件更新?我们期待您的点赞、分享,并欢迎在评论区展开讨论。
