ГлавнаяБаза уязвимостей БДУ → BDU:2024-10433
10критическая

BDU:2024-10433

Уязвимость программного обеспечения для обмена файлами ProjectSend связанная с недостатками процедуры аутентификации, позволяющая нарушителю выполнить изменение конфигурации приложения
Опубликовано: 2024-11-29
Описание

Уязвимость программного обеспечения для обмена файлами ProjectSend связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить изменение конфигурации приложения путём отправки специально сформированных HTTP-запросов

Затрагиваемое ПО и версии
ProjectSend (до r1720)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности выполнения сценариев в каталоге загрузки файлов (upload/files) путём добавления в конфигурационный htaccess-файл следующей строки:
php_flag engine off
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности попыток эксплуатации уязвимости;
- использование систем обнаружения
и предотвращения вторжений с целью выявления
и реагирования на попытки эксплуатации уязвимости.

Использование рекомендаций:
https://github.com/projectsend/projectsend/commit/193367d937b1a59ed5b68dd4e60bd53317473744

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/projectsend/projectsend/commit/193367d937b1a59ed5b68dd4e60bd53317473744https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/http/projectsend_unauth_rce.rbhttps://vulncheck.com/blog/projectsend-exploited-itw
Проверьте безопасность своего сайта и почты → Полная проверка домена