Wersje ProjectSend starsze niż r1720 zawierają krytyczną lukę w mechanizmie uwierzytelnienia (CWE-306), pozwalającą niezalogowanemu atakującemu na zdalne przejęcie kontroli nad aplikacją. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
ProjectSend versions prior to r1720 are affected by an improper authentication vulnerability. Remote, unauthenticated attackers can exploit this flaw by sending crafted HTTP requests to options.php, enabling unauthorized modification of the application's configuration. Successful exploitation allows attackers to create accounts, upload webshells, and embed malicious JavaScript.
Atakujący wysyła spreparowane żądanie HTTP do pliku options.php bez konieczności posiadania jakichkolwiek poświadczeń. Brak właściwej weryfikacji tożsamości po stronie serwera umożliwia nieautoryzowaną modyfikację konfiguracji aplikacji. W efekcie możliwe jest tworzenie nowych kont użytkowników, przesyłanie plików webshell na serwer oraz wstrzykiwanie złośliwego kodu JavaScript do interfejsu aplikacji.
Atakujący może uzyskać pełną kontrolę nad serwerem poprzez wykonanie dowolnego kodu (RCE) za pośrednictwem przesłanego webshella, a także naruszyć integralność danych i przeprowadzić ataki na użytkowników aplikacji przy użyciu złośliwego JavaScript.
Należy niezwłocznie zaktualizować ProjectSend do wersji r1720 lub nowszej. Patch dostępny jest w oficjalnym repozytorium projektu (commit 193367d937b1a59ed5b68dd4e60bd53317473744). Do czasu aktualizacji zaleca się ograniczenie dostępu do pliku options.php na poziomie serwera WWW lub firewall.
ProjectSend we wszystkich wersjach wcześniejszych niż r1720
Publicznie dostępne są gotowe moduły exploit w ramach Metasploit Framework (projectsend_unauth_rce.rb) oraz szablon Nuclei (projectsend-auth-bypass.yaml), co znacząco obniża próg wejścia dla atakujących. Szczegółowa analiza techniczna opublikowana została przez Synacktiv.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HProjectsend
APPProjectsend< r1720
CISA KEV — szczegółyi
- Dostawcai
- ProjectSend
- Produkti
- ProjectSend
- Data dodania do KEVi
- 3 grudnia 2024
- Termin remediation (USA)i
- 24 grudnia 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
ProjectSend zawiera lukę uwierzytelniania, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na możliwość nieautoryzowanej modyfikacji konfiguracji aplikacji poprzez spreparowane żądania HTTP do options.php. Pomyślne wykorzystanie luki umożliwia atakującym utworzenie kont, przesłanie webshelli oraz osadzenie złośliwego JavaScript.
▸ Pokaż oryginał (EN)
ProjectSend contains an improper authentication vulnerability that allows a remote, unauthenticated attacker to enable unauthorized modification of the application's configuration via crafted HTTP requests to options.php. Successful exploitation allows attackers to create accounts, upload webshells, and embed malicious JavaScript.
Powiązane podatności
Projectsend version r1295 is affected by a directory traversal vulnerability. Because of lacking sanitization ...
ProjectSend (formerly cFTP) r582 allows directory traversal via file=../ in the process-zip-download.php query...
ProjectSend (formerly cFTP) r582 allows SQL injection via manage-files.php with the request parameter status, ...
ProjectSend (formerly cFTP) r582 allows authentication bypass via a direct request for users.php, home.php, ed...
ProjectSend (formerly cFTP) r582 allows Insecure Direct Object Reference via includes/actions.log.export.php.