BDU:2023-07463
ООО «1С-Битрикс» Битрикс24
Дата обнаружения
2023-11-01
Официальное описание
Уязвимость функции mb_strpos() сервиса для управления бизнесом Битрикс24 связана с непринятием мер по нейтрализации сценария в атрибутах на веб-странице. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS), путем размещения HTML-тегов в начале полезной нагрузки
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - отключение/удаление неиспользуемых учётных записей пользователей; - минимизация пользовательских привилегий; - использование средств межсетевого экранирования уровня веб-приложений; - контроль журналов трафика на наличие строки "\xe2\x80\xa9" с другими символами "<" или "=".
Обновление модуля crm