BDU:2023-07457

ООО «1С-Битрикс» Битрикс24

НЕ ОЦЕНЕНО

Дата обнаружения

2023-11-01

Официальное описание

Уязвимость файла bitrix/modules/main/classes/general/user_options.php модуля main сервиса для управления бизнесом Битрикс24 связана с некорректным внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код и повысить свои привилегии путём добавления произвольного контента в существующие PHP-файлы или десериализации PHAR

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Обновление программного обеспечения до версии 23.200.0.

Компенсирующие меры: - отключение/удаление неиспользуемых учётных записей пользователей; - минимизация пользовательских привилегий; - использование средств межсетевого экранирования уровня веб-приложений; - контроль журналов трафика на наличие изменений в «BITRIX_SM_LAST_SETTINGS» cookies-файлов для отслеживания попыток эксплуатации уязвимости; - cканирование файловой системы на наличие phar-файлов, содержащих строку «__HALT_COMPILER()».

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей