CVE-2023-53980 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ProjectSend r1605 存在**文件上传漏洞**。 🔥 **后果**：攻击者可上传**恶意文件**，导致**远程代码执行 (RCE)**，服务器彻底沦陷。

🛡️ **CWE**：CWE-434 (Unrestricted Upload of File with Dangerous Type)。 🔍 **缺陷点**：系统允许攻击者通过**操纵文件扩展名**绕过检查，上传危险文件。

📦 **厂商**：ProjectSend。 📌 **版本**：**r1605** 版本。 💻 **组件**：基于 PHP 和 MySQL 的自托管 cFTP 应用程序。

👑 **权限**：获得**服务器最高权限**（Webshell）。 💾 **数据**：可窃取所有上传文件、数据库信息及系统敏感数据。

🚪 **门槛**：**极低**。 📝 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络远程即可利用 (AV:N)。

💣 **Exp**：有。 🔗 **来源**：ExploitDB **51238** 号漏洞利用代码。 ⚠️ **状态**：VulnCheck 已发布详细利用建议。

🔎 **自查**：检查是否运行 **ProjectSend r1605**。 📡 **扫描**：检测上传接口是否对文件扩展名校验不严，或存在已知 ExploitDB 51238 特征。

🛠️ **补丁**：数据未提供具体补丁链接。 📢 **建议**：立即访问 **Official Product Homepage** 查看是否有新版本修复此漏洞。

🚧 **规避**：若无法升级，需严格限制**上传目录执行权限**。 🔒 **措施**：禁用上传目录的 PHP 执行权限，仅允许图片/文档静态展示。

🔥 **优先级**：**紧急 (Critical)**。 📉 **CVSS**：9.8 (极高危)。 ⚡ **行动**：立即隔离受影响实例，优先修复或下线。