BDU:2023-07461

ООО «1С-Битрикс» Битрикс24

НЕ ОЦЕНЕНО

Дата обнаружения

2023-11-01

Официальное описание

Уязвимость компонента bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js модуля main сервиса для управления бизнесом Битрикс24 связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript-код с помощью внедрения произвольного содержимого в объекты Prototype __proto__[tag] и __proto__[text]

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Обновление программного обеспечения до версии 22.600.200.

Компенсирующие меры: - отключение/удаление неиспользуемых учётных записей пользователей; - минимизация пользовательских привилегий; - использование средств межсетевого экранирования уровня веб-приложений; - контроль журналов трафика на наличие строки proto в параметрах запроса.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей