根据VulnCheck的调查结果，一个影响ProjectSend开源文件共享应用程序的关键安全漏洞很可能已被恶意利用。

该漏洞最初是在一年半前作为 2023 年 5 月推送的提交的一部分修补的，直到 2024 年 8 月发布 r1720 版本后才正式可用。截至 2024 年 11 月 26 日，该漏洞已被指定为 CVE 标识符 CVE-2024-11680（CVSS 得分：9.8）。

Synacktiv 于 2023 年 1 月向项目维护者报告了该漏洞，并将其描述为一个不当的授权检查，允许攻击者在易受影响的服务器上执行恶意代码。

该公司在 2024 年 7 月发布的一份报告中说：“在 ProjectSend r1605 版本中发现了一个不适当的授权检查，允许攻击者执行敏感操作，如启用用户注册和自动验证，或在上传文件允许扩展名的白名单中添加新条目。”

“最终，这允许在托管应用程序的服务器上执行任意 PHP 代码。”

VulnCheck 说，它观察到未知威胁行为者利用 Project Discovery 和 Rapid7 发布的漏洞利用代码，以面向公众的 ProjectSend 服务器为目标。据信，这些利用尝试始于 2024 年 9 月。

还发现这些攻击启用了用户注册功能，以获得认证后权限进行后续利用，这表明它们并不局限于扫描易受攻击的实例。

VulnCheck的Jacob Baines说：“我们很可能已经进入了‘攻击者安装网络外壳’的领域（从技术上讲，该漏洞也允许攻击者嵌入恶意JavaScript，这可能是一个有趣的、不同的攻击场景）。”

“如果攻击者上传了网络外壳，就可以在网络根目录下的 upload/files/ 中找到它。”

对大约 4000 台暴露在互联网上的 ProjectSend 服务器进行的分析表明，其中仅有 1%的服务器使用的是已打补丁的版本（r1750），其余所有实例运行的要么是未命名的版本，要么是 2022 年 10 月发布的 r1605 版本。

鉴于该漏洞似乎被广泛利用，建议用户尽快应用最新的补丁程序，以减轻主动威胁。