BDU:2023-07459

ООО «1С-Битрикс» Битрикс24

НЕ ОЦЕНЕНО

Дата обнаружения

2023-11-01

Официальное описание

Уязвимость компонента bitrix/modules/main/tools.php сервиса для управления бизнесом Битрикс24 связана с ошибками инициализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации и выполнить произвольный JavaScript-код, путем перезаписи неинициализированных переменных

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Обновление программного обеспечения до версии 22.300.50.

Компенсирующие меры: - отключение/удаление неиспользуемых учётных записей пользователей; - минимизация пользовательских привилегий; - использование средств межсетевого экранирования уровня веб-приложений; - контроль журналов доступа к серверу на наличие запросов к "bitrix/components/bitrix/socialnetwork.events_dyn/get_message_2.php" с параметром LOG_CNT; - контроль журналов трафика на наличие двух строк, "diskFileId" и "sign", в HTTP-запросе с одинаковыми числовыми значениями (например, diskFileId=8; sign=8).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей