Aktywnie wykorzystywana w atakach
ProjectSend Improper Authentication Vulnerability
ProjectSend - ProjectSend · Figuruje w katalogu CISA KEV od 2024-12-03. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
CVE-2024-11680
KrytyczneCVSS 9.8KEVPrawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 100 - wyżej niż 100% wszystkich znanych CVE
Streszczenie
W ProjectSend w wersjach przed r1720 występuje luka w uwierzytelnianiu. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane żądania HTTP do pliku options.php, co umożliwia nieautoryzowaną modyfikację konfiguracji aplikacji. Skuteczne wykorzystanie luki pozwala na tworzenie kont, wgrywanie webshelli oraz osadzanie złośliwego JavaScript.
Ocena ryzyka
Ryzyko dla organizacji obejmuje całkowite przejęcie kontroli nad aplikacją ProjectSend, co może prowadzić do kradzieży danych, dalszego ataku na infrastrukturę oraz naruszenia integralności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować ProjectSend do wersji r1720 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do pliku options.php tylko dla zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
ProjectSend versions prior to r1720 are affected by an improper authentication vulnerability. Remote, unauthenticated attackers can exploit this flaw by sending crafted HTTP requests to options.php, enabling unauthorized modification of the application's configuration. Successful exploitation allows attackers to create accounts, upload webshells, and embed malicious JavaScript.

