BDU:2023-07462
ООО «1С-Битрикс» Битрикс24
Дата обнаружения
2023-11-01
Официальное описание
Уязвимость страницы редактирования (Invoice Edit Page) сервиса для управления бизнесом Битрикс24 связана с непринятием мер по нейтрализации сценария в атрибутах на веб-странице. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - отключение/удаление неиспользуемых учётных записей пользователей; - минимизация пользовательских привилегий; - использование средств межсетевого экранирования уровня веб-приложений; - контроль журналов трафика на наличие строки "\xe2\x80\xa9" с другими символами "<" или "=".
Обновление программного обеспечения до актуальной версии