快科技 11 月 29 日消息，开源文件共享应用程序 ProjectSend 被曝出存在严重的安全漏洞，CVSS 评分高达 9.8 分，VulnCheck 调查结果显示，这个漏洞很可能已经被恶意利用。

ProjectSend 允许用户在自己的服务器上部署程序，以便构建文件共享功能，方便与其他用户或客户分享文件。

该漏洞最初在 2023 年 5 月的提交中被修复，直到 2024 年 8 月 r1720 版本发布后才正式可用，2024 年 11 月 26 日，该漏洞被分配了 CVE 标识符 CVE-2024-11680。

VulnCheck 在 7 月发布的报告中提到，在 ProjectSend 的 r1605 版本中发现了一个不适当的授权检查，允许攻击者执行敏感操作，最终允许在托管应用程序的服务器上执行任意 PHP 代码。

如果攻击者上传了 Web Shell 则可以在分享站点的 /uploads/files/ 找到它并执行，这有可能会造成服务器数据泄露或更多危害性操作。

至于为何又要专门发布报告，因为全网扫描发现仅 1% 安装了 ProjectSend 的服务器更新到了 r1750 版，其他 99% 的机器都还在运行无法检测到版本号的版本或者 r1605 版。

VulnCheck 表示，鉴于该漏洞似乎被广泛利用，建议用户尽快应用最新的补丁程序。