BDU:2023-07458

ООО «1С-Битрикс» Битрикс24

НЕ ОЦЕНЕНО

Дата обнаружения

2023-11-01

Официальное описание

Уязвимость компонента bitrix/modules/main/tools.php сервиса для управления бизнесом Битрикс24 связана с отсутствием заголовка ответа типа mime. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript-код, путем загрузки созданного HTML-файла через /desktop_app/file.ajax.php?action=uploadfile

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Компенсирующие меры: - на веб-сервере настроить папку upload для отдачи html файлов как text/plain; - отключение/удаление неиспользуемых учётных записей пользователей; - минимизация пользовательских привилегий; - использование средств межсетевого экранирования уровня веб-приложений; - контроль журналов трафика на наличие тегов и других XSS-векторов в загружаемых файлах.

Использование рекомендаций производителя: https://www.1c-bitrix.ru/vul/18880556/

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей