ProjectSend 是一個開源免費的文件共享應用程序，用戶可以在自己的伺服器上部署該程式從而建立文件共享功能，方便與其他用戶或客戶分享文件。日前安全公司發布報告透露該程式的一個高危險安全漏洞可能已經遭到駭客的廣泛利用，攻擊者藉助漏洞可以在伺服器上執行任意程式碼。

最初漏洞於2023 年5 月提交並開始修復，直到2024 年8 月的r1720 版發布後才完成修復，截止至2024 年11 月26 日漏洞被分配編號為CVE-2024-11680，CVSS 評分高達9.8/ 10 分。

漏洞發生原因則是不恰當的授權檢查，這允許攻擊者執行敏感操作例如啟用使用者自動註冊或自動驗證，或在允許上傳檔案的擴充白名單中新增條目等。

最終攻擊者可以藉助漏洞在目標伺服器上執行任意PHP 程式碼，這應該屬於Web Shell 範疇，因為從技術上說攻擊者還能嵌入惡意JavaScript 腳本實現不同的攻擊目的。

如果攻擊者上傳了Web Shell 則可以在分享網站的/uploads/files/ 找到它並執行，這有可能會造成伺服器資料外洩或更多危害性操作。

為什麼保全公司要特地發個報告說呢？因為全網掃描發現只有1% 的安裝ProjectSend 的伺服器更新了到了r1750 版，其他99% 的機器都還在執行無法偵測到版本號碼的版本或r1605 版。

所以如果你或你的公司使用ProjectSend 那需要立即去升級，防止被駭客也掃描到後進行針對性攻擊。