惊爆！文件共享软件ProjectSend曝出高危漏洞，黑客已开始利用！立即更新！

网络安全风暴来袭！立即更新你的ProjectSend软件，保护你的数据安全！

科技快讯中文站

　　 11月29日的消息称，开源文件共享程序ProjectSend被发现存在严重安全漏洞，该漏洞的CVSS评分为9.8。据VulnCheck的调查，这一漏洞可能已被黑客利用。

　　 ProjectSend允许用户在其服务器上部署程序，以创建文件共享功能，便于与其它用户或客户分享文件。

　　 该漏洞最初在2023年5月的提交中被修复，直到2024年8月r1720版本发布后才正式可用，2024年11月26日，该漏洞被分配了CVE标识符CVE-2024-11680。

　　 在7月发布的VulnCheck报告中指出，ProjectSend的r1605版本存在不当的权限验证问题，这使得攻击者能够进行敏感操作，进而可能在运行该应用的服务器上执行任意PHP代码。

　　 若攻击者成功上传了WebShell，便可能在分享站点的 `/uploads/files/` 目录下找到并执行它，这可能会导致服务器上的数据泄露或其他更严重的操作风险。

　　 之所以要专门发布这份报告，是因为全网扫描结果显示，仅有1%的安装了ProjectSend的服务器已更新至r1750版本，而其余99%的服务器仍在运行无法检测到版本号的版本或停留在r1605版本。

　　 鉴于VulnCheck指出该漏洞已被广泛利用，建议用户尽快安装最新发布的补丁程序。