Уязвимость программного обеспечения для обмена файлами ProjectSend связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить изменение конфигурации приложения путём отправки специально сформированных HTTP-запросов
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности выполнения сценариев в каталоге загрузки файлов (upload/files) путём добавления в конфигурационный htaccess-файл следующей строки:
php_flag engine off
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности попыток эксплуатации уязвимости;
- использование систем обнаружения
и предотвращения вторжений с целью выявления
и реагирования на попытки эксплуатации уязвимости.
Использование рекомендаций:
https://github.com/projectsend/projectsend/commit/193367d937b1a59ed5b68dd4e60bd53317473744
| Балл | 10 — критическая опасность |