近期，一款備受歡迎的開源文件共享軟件ProjectSend被曝存在一個重大安全隱患，其嚴重性令人擔憂，CVSS評分高達9.8，這意味著該漏洞一旦被利用，將帶來極其嚴重的后果。根據VulnCheck的調查結果，這一漏洞可能已經落入不法分子的手中。

ProjectSend作為一個靈活的文件共享平臺，允許用戶在自己的服務器上部署，以便輕松實現文件分享功能，無論是內部團隊協作還是對外客戶服務，都顯得尤為便捷。

回溯到2023年5月，這一漏洞的修復方案就已經被提出，但直到2024年8月發布的r1720版本中，這一修復才正式得以應用。而直到2024年11月26日，該漏洞才被正式賦予CVE標識符——CVE-2024-11680。

VulnCheck在7月份的報告中詳細披露了漏洞的具體細節。在ProjectSend的r1605版本中，研究人員發現了一個關鍵的授權檢查漏洞，該漏洞允許攻擊者繞過正常權限，執行一系列敏感操作，最終甚至可以在服務器上執行任意PHP代碼。這意味著，一旦攻擊者成功上傳Web Shell，他們就能在/uploads/files/目錄下找到并執行它，從而可能導致服務器數據泄露，甚至引發更為嚴重的安全問題。

令人擔憂的是，盡管修復方案早已存在，但根據VulnCheck的全網掃描結果，僅有1%的ProjectSend服務器更新到了最新的r1750版本，而剩下的99%仍然運行著無法檢測到版本號的舊版本，或是存在漏洞的r1605版本。這一數據無疑加劇了安全風險的嚴峻性。

鑒于該漏洞的廣泛利用風險，VulnCheck強烈建議所有使用ProjectSend的用戶盡快升級至最新版本，并應用最新的補丁程序，以確保系統的安全性。這一提醒無疑是對當前嚴峻安全形勢的及時回應，也是對所有用戶的負責。