漏洞描述 ProjectSend 是一款用于文件共享和管理的开源应用程序。该漏洞存在于 ProjectSend r1605 版本中,由于缺乏适当的授权检查,攻击者可以执行敏感操作,例如启用用户注册和自动验证,或向上传文件的允许扩展名白名单中添加新条目。这最终可能导致攻击者在服务器上执行任意 PHP 代码。
相关漏洞推荐 POCCVE-2024-11680: ProjectSend <= r1605 - Improper Authorization POCCVE-2024-11680: ProjectSend <= r1605 - Improper Authorization POCprojectsend-installer: ProjectSend Installation Page - Exposure 无POCProjectSend process-upload.php 任意文件上传漏洞