CVE-2023-53980

Nome do Software Vulnerável e Versões Afetadas ProjectSend versão r1605

Descrição O ProjectSend r1605 contém uma vulnerabilidade de execução remota de código que permite aos atacantes fazer upload de arquivos maliciosos manipulando extensões de arquivo. Os atacantes podem fazer upload de scripts shell com extensões disfarçadas através do endpoint upload.process.php para executar comandos arbitrários no servidor. A falha contorna as verificações de extensão de arquivo, permitindo aos atacantes fazer upload e executar scripts maliciosos, potencialmente levando ao comprometimento total do servidor.

Recomendações Para a versão r1605 do ProjectSend, restrinja o acesso ao endpoint upload.process.php para prevenir uploads de arquivos não autorizados. Como medida temporária, considere desabilitar a funcionalidade de upload de arquivos até que um patch esteja disponível.