Новости Обнаружены критические уязвимости в Битрикс24: рекомендации по обновлению

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Исследователи из Сингапура внесли неоценимый вклад в безопасность Битрикс.


wlyl21z5p00rk603v5yepm2el63beebo.jpg


В продукте Для просмотра ссылки Войди или Зарегистрируйся , популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно Для просмотра ссылки Войди или Зарегистрируйся сразу 8 критических уязвимостей, способные привести к целому спектру вредоносных действий со стороны потенциальных злоумышленников.

Ответственность за выявление всех недостатков безопасности лежит на специалистах из сингапурской компании Star Labs , опубликовавших исчерпывающие отчёты по каждой уязвимости, подробно расписав принцип их действия и снабдив всё множеством технических пояснений.

Ниже приведём полный список обнаруженных недостатков с кратким описанием, а также ссылками на отчёты исследователей:

  1. Для просмотра ссылки Войди или Зарегистрируйся ( CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе. Для просмотра ссылки Войди или Зарегистрируйся .
  2. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе. Для просмотра ссылки Войди или Зарегистрируйся
  3. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Успешная эксплуатация позволяет внутреннему злоумышленнику выполнить произвольный код на системах определённых конфигураций и версии php < 8.0. Для просмотра ссылки Войди или Зарегистрируйся .
  4. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 8.8 баллов). Уязвимость страницы редактирования (Invoice Edit Page), позволяющая нарушителю провести атаку межсайтового скриптинга ( XSS ). Для просмотра ссылки Войди или Зарегистрируйся .
  5. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 9.6 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может сформировать вредоносную ссылку и проэкслпутировать javascript prototype pollution в браузере жертвы. Для просмотра ссылки Войди или Зарегистрируйся .
  6. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 7.5 баллов). Уязвимость, способная привести к "отказу в обслуживании" при определённой конфигурации системы. Для просмотра ссылки Войди или Зарегистрируйся
  7. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 7.5 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может получить доступ к пользовательским файлам. Для просмотра ссылки Войди или Зарегистрируйся .
  8. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 9.3 балла). Уязвимость, связанная с отсутствием заголовка ответа типа mime, позволяющая нарушителю выполнить произвольный JavaScript-код. Для просмотра ссылки Войди или Зарегистрируйся .
Также эксперты Star Labs предоставили подробную хронологию взаимодействия с компанией « Для просмотра ссылки Войди или Зарегистрируйся ». Согласно данным из отчётов исследователей, первичный контакт с представителями компании был осуществлён в марте 2023. После долгих переговоров и череды патчей, 1-го ноября исследователи наконец разместили вышеупомянутые отчёты, сделав информацию об уязвимостях общедоступной.

Согласно информации на сайте продукта, все вышеописанные уязвимости были исправлены в различных версиях Битрикс24. Администраторам рекомендуется обновить поддерживаемые установки до крайней версии, чтобы избежать проблем, связанных с потенциальным вредоносным воздействием со стороны злоумышленников.
 
Источник новости
www.securitylab.ru

Похожие темы