CVE-2024-11680丨ProjectSend 未经身份验证的配置修改

2024年11月27日 180点热度 0人点赞 0条评论

CVE编号

CVE-2024-11680

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-26

ProjectSend版本r1720之前的版本存在一个不当的认证漏洞。远程未认证的攻击者可以通过发送特制的HTTP请求到options.php来利用此漏洞，从而实现对应用程序配置的未经授权的修改。成功利用此漏洞的攻击者可以创建账户、上传webshells并嵌入恶意JavaScript代码。

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/projectdiscovery/nuclei-templates/blob/main/http/vulnerabi...
https://github.com/projectsend/projectsend/commit/193367d937b1a59ed5b68dd4e60...
https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/l...
https://vulncheck.com/advisories/projectsend-bypass
https://www.synacktiv.com/sites/default/files/2024-07/synacktiv-projectsend-m...