عوامل تهدید نقص امنیتی حیاتی دور زدن احراز هویت با شناسه CVE-2024-11680 و امتیاز 9.8 در برنامه اشتراکگذاری فایل منبعباز ProjectSend را جهت آپلود وبشِلها و دسترسی از راه دور به سرورها اکسپلویت میکنند.
این نقص بر نسخههای ProjectSend قبل از r1720 تأثیر میگذارد و به مهاجمان اجازه میدهد تا درخواستهای HTTP ساختهشده ویژهای را برای تغییر پیکربندی اپلیکیشن به «options.php» ارسال کنند. اکسپلویت موفقیتآمیز امکان ایجاد اکانتهای مخرب، کاشت وبشِلها و جاسازی کدهای مخرب جاوا اسکریپت را فراهم میسازد. اگرچه این نقص در 16 می 2023 برطرف شد، اما اخیرا به آن CVE اختصاص داده شد و به نقل از VulnCheck، که اکسپلویت فعال را شناسایی کرده است، 99٪ از نمونههای ProjectSend هنوز نسخه آسیبپذیر را اجرا میکنند.
https://www.bleepingcomputer.com/news/security/hackers-exploit-projectsend-flaw-to-backdoor-exposed-servers
https://thehackernews.com/2024/11/critical-flaw-in-projectsend-under.html
