Эксперты Positive Technologies обнаружили
По словам старшего специалиста отдела тестирования на проникновение Positive Technologies Сергея Близнюка, BDU:2023–05 857 позволяла удалённому пользователю выполнить произвольный код. После этого атакующий получал возможность запускать на узле любое программное обеспечение, манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы. Это уязвимости были подвержены все сайты на основе «1С‑ 1С-Битрикс: Управление сайтом», начиная с версии «Стандарт».
В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self‑hosted (не облачных) инсталляций в некоторых конфигурациях. Для устранения уязвимости необходимо обновить модуль landing до версии 23.850.0 и выше.
Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальные пользователи могут обратиться к вендору для получения патча или отключить модуль landing.
Для просмотра ссылки Вы должны войти или зарегистрироваться.
в системе «1С‑ 1С-Битрикс: Управление сайтом», такая же была выявлена в « 1С-Битрикс24». Новая уязвимость BDU:2023–05 857 имеет самую высокую оценку по шкале уязвимостей CVSS 3.0 — 10 из 10. В сентябре 2023 года для «1С‑ 1С-Битрикс: Управление сайтом» было выпущено обновление для устранения уязвимости.По словам старшего специалиста отдела тестирования на проникновение Positive Technologies Сергея Близнюка, BDU:2023–05 857 позволяла удалённому пользователю выполнить произвольный код. После этого атакующий получал возможность запускать на узле любое программное обеспечение, манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы. Это уязвимости были подвержены все сайты на основе «1С‑ 1С-Битрикс: Управление сайтом», начиная с версии «Стандарт».
В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self‑hosted (не облачных) инсталляций в некоторых конфигурациях. Для устранения уязвимости необходимо обновить модуль landing до версии 23.850.0 и выше.
Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальные пользователи могут обратиться к вендору для получения патча или отключить модуль landing.
