一、 漏洞 CVE-2024-11680 基础信息
漏洞标题
ProjectSend 未认证配置修改漏洞
来源:AIGC 神龙大模型
漏洞描述信息
ProjectSend 在 r1720 之前的所有版本都受到身份验证不当漏洞的影响。远程未经过身份验证的攻击者可以通过向 options.php 发送特制的 HTTP 请求来利用此漏洞,从而未经授权地修改应用程序的配置。成功利用此漏洞后,攻击者可以创建账户、上传 webshell 并嵌入恶意 JavaScript。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
ProjectSend Unauthenticated Configuration Modification
来源:美国国家漏洞数据库 NVD
漏洞描述信息
ProjectSend versions prior to r1720 are affected by an improper authentication vulnerability. Remote, unauthenticated attackers can exploit this flaw by sending crafted HTTP requests to options.php, enabling unauthorized modification of the application's configuration. Successful exploitation allows attackers to create accounts, upload webshells, and embed malicious JavaScript.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
认证机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
ProjectSend 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ProjectSend(cFTP)是ProjectSend开源的一套基于PHP和MySQL的自托管应用程序。 ProjectSend r1720之前版本存在安全漏洞,该漏洞源于受到身份验证漏洞的影响,远程未经身份验证的攻击者可以通过发送精心设计的HTTP请求实现对应用程序配置的未经授权修改。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-11680 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2024-11680: Improper Authentication (CWE-287) https://github.com/famixcm/CVE-2024-11680 POC详情
2 None https://github.com/exploitboom/CVE-2024-11680 POC详情
3 This repository contains a Proof of Concept (PoC) exploit for CVE-2024-11680, a critical vulnerability in ProjectSend r1605 and older versions. The exploit targets a Cross-Site Request Forgery (CSRF) flaw in combination with Privilege Misconfiguration issues. https://github.com/D3N14LD15K/CVE-2024-11680_PoC_Exploit POC详情
三、漏洞 CVE-2024-11680 的情报信息