● 点击↑蓝字关注我们,获取更多安全风险通告
漏洞概述 | |||
漏洞名称 | ProjectSend 身份认证绕过漏洞 | ||
漏洞编号 | QVD-2024-48602,CVE-2024-11680 | ||
公开时间 | 2024-11-26 | 影响量级 | 万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 9.8 |
威胁类型 | 身份认证绕过 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 已发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:远程未经身份验证的攻击者可以通过向 options.php 发送精心设计的 HTTP 请求来利用此漏洞,从而在未经授权的情况下修改应用程序的配置。成功利用此漏洞后,攻击者可嵌入恶意代码、开启创建帐户功能并上传 webshell。 |
ProjectSend >= r1720
官方补丁下载地址:
https://github.com/projectsend/projectsend/commit/193367d937b1a59ed5b68dd4e60bd53317473744
https://github.com/projectsend/projectsend/releases/tag/r1720
[2]https://www.securityweek.com/projectsend-vulnerability-exploited-in-the-wild/
[3]https://thehackernews.com/2024/11/critical-flaw-in-projectsend-under.html
[4]https://github.com/projectsend/projectsend/commit/193367d937b1a59ed5b68dd4e60bd53317473744
原文始发于微信公众号(奇安信 CERT):【在野利用】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)安全风险通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论