BDU:2023-07460
ООО «1С-Битрикс» Битрикс24
Дата обнаружения
2023-11-01
Официальное описание
Уязвимость компонента desktop_app/file.ajax.php?action=uploadfile модуля main сервиса для управления бизнесом Битрикс24 связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного "tmp_url"
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Обновление программного обеспечения до версии 23.600.0.
Компенсирующие меры: - отключение/удаление неиспользуемых учётных записей пользователей; - минимизация пользовательских привилегий; - использование средств межсетевого экранирования уровня веб-приложений; - контроль журналов трафика на наличие в запросах следующих строк: "php://stdout" и "file:///dev/stdout".