Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Kritische Sicherheitslücke in ProjectSend

- Warnmeldung

Die CSBW warnt vor einer kritischen Sicherheitslücke in der Plattform ProjectSend. Die Sicherheitslücke wird laut Sicherheitsforschenden der Plattform VulnCheck aktiv ausgenutzt. Das Entwickler-Team von ProjectSend stellte bereits im Mai 2023 ein abgesichertes Update bereit.
Blaue Netzlinien vor rotem Kreis

© Adobe Stock

Lücke von Angreifenden seit Herbst 2023 ausgenutzt

IT-Sicherheitsforschende der Plattform VulnCheck veröffentlichten am 25. November 2024 eine Warnmeldung zu aktiven Ausnutzungen der kritischen Schwachstelle CVE-2024-11680 in der Open-Source-Plattform ProjectSend seit September 2023. CVE-2024-11680 ist schon seit Mai 2023 bekannt und hat einen CVSS-Score von 9.8/10. 

Die Sicherheitslücke ermöglicht Angreifenden, Konfigurationsdateien zu manipulieren, Webshells hochzuladen und maliziösen JavaScript-Code in Systemen einzubetten. Um die Lücke zu beheben, veröffentlichte das Entwickler-Team bereits im Mai 2023 die abgesicherte ProjectSend-Version r1750. Bisher sei jedoch erst 1 % der 4.000 öffentlichen Plattform-Instanzen auf r1750 aktualisiert. Dieser Umstand erhöht die Gefahr einer Ausnutzung von CVE-2024-11680 deutlich.

Empfehlungen

  • Aktualisieren Sie Ihre ProjectSend-Instanz umgehend auf die Version r1750.
  • Prüfen und überwachen Sie Ihre ProjectSend-Instanz und damit verbundene Systeme engmaschig und kontinuierlich.

Weitere Informationen