CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2024-11680

ProjectSend – pominięcie uwierzytelnienia umożliwiające RCE (r<1720)

CVSS 9.8v3.1pub. 2024-11-26upd. 2025-10-31

Wersje ProjectSend starsze niż r1720 zawierają krytyczną lukę w mechanizmie uwierzytelnienia (CWE-306), pozwalającą niezalogowanemu atakującemu na zdalne przejęcie kontroli nad aplikacją. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i figuruje w katalogu CISA KEV.

Pokaż oryginał (EN)

ProjectSend versions prior to r1720 are affected by an improper authentication vulnerability. Remote, unauthenticated attackers can exploit this flaw by sending crafted HTTP requests to options.php, enabling unauthorized modification of the application's configuration. Successful exploitation allows attackers to create accounts, upload webshells, and embed malicious JavaScript.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP do pliku options.php bez konieczności posiadania jakichkolwiek poświadczeń. Brak właściwej weryfikacji tożsamości po stronie serwera umożliwia nieautoryzowaną modyfikację konfiguracji aplikacji. W efekcie możliwe jest tworzenie nowych kont użytkowników, przesyłanie plików webshell na serwer oraz wstrzykiwanie złośliwego kodu JavaScript do interfejsu aplikacji.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez wykonanie dowolnego kodu (RCE) za pośrednictwem przesłanego webshella, a także naruszyć integralność danych i przeprowadzić ataki na użytkowników aplikacji przy użyciu złośliwego JavaScript.

Mitygacja

Należy niezwłocznie zaktualizować ProjectSend do wersji r1720 lub nowszej. Patch dostępny jest w oficjalnym repozytorium projektu (commit 193367d937b1a59ed5b68dd4e60bd53317473744). Do czasu aktualizacji zaleca się ograniczenie dostępu do pliku options.php na poziomie serwera WWW lub firewall.

Kogo dotyczy

ProjectSend we wszystkich wersjach wcześniejszych niż r1720

Uwagi

Publicznie dostępne są gotowe moduły exploit w ramach Metasploit Framework (projectsend_unauth_rce.rb) oraz szablon Nuclei (projectsend-auth-bypass.yaml), co znacząco obniża próg wejścia dla atakujących. Szczegółowa analiza techniczna opublikowana została przez Synacktiv.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Projectsend

    APP
    Projectsend
    < r1720

CISA KEV — szczegółyi

Dostawcai
ProjectSend
Produkti
ProjectSend
Data dodania do KEVi
3 grudnia 2024
Termin remediation (USA)i
24 grudnia 2024(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

ProjectSend zawiera lukę uwierzytelniania, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na możliwość nieautoryzowanej modyfikacji konfiguracji aplikacji poprzez spreparowane żądania HTTP do options.php. Pomyślne wykorzystanie luki umożliwia atakującym utworzenie kont, przesłanie webshelli oraz osadzenie złośliwego JavaScript.

tłumaczenie AI
Pokaż oryginał (EN)

ProjectSend contains an improper authentication vulnerability that allows a remote, unauthenticated attacker to enable unauthorized modification of the application's configuration via crafted HTTP requests to options.php. Successful exploitation allows attackers to create accounts, upload webshells, and embed malicious JavaScript.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 24 grudnia 2024
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2021-40887CRITICAL9.8ten sam produkt

Projectsend version r1295 is affected by a directory traversal vulnerability. Because of lacking sanitization ...

CVE-2016-10733CRITICAL9.8ten sam produkt

ProjectSend (formerly cFTP) r582 allows directory traversal via file=../ in the process-zip-download.php query...

CVE-2016-10731CRITICAL9.8ten sam produkt

ProjectSend (formerly cFTP) r582 allows SQL injection via manage-files.php with the request parameter status, ...

CVE-2016-10732CRITICAL9.8ten sam produkt

ProjectSend (formerly cFTP) r582 allows authentication bypass via a direct request for users.php, home.php, ed...

CVE-2016-10734CRITICAL9.8ten sam produkt

ProjectSend (formerly cFTP) r582 allows Insecure Direct Object Reference via includes/actions.log.export.php.