Новости Обнаружены критические уязвимости в Битрикс24: рекомендации по обновлению

[NewsMaker]

Исследователи из Сингапура внесли неоценимый вклад в безопасность Битрикс.

---

---

В продукте Для просмотра ссылки Войди или Зарегистрируйся , популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно Для просмотра ссылки Войди или Зарегистрируйся сразу 8 критических уязвимостей, способные привести к целому спектру вредоносных действий со стороны потенциальных злоумышленников.

Ответственность за выявление всех недостатков безопасности лежит на специалистах из сингапурской компании Star Labs , опубликовавших исчерпывающие отчёты по каждой уязвимости, подробно расписав принцип их действия и снабдив всё множеством технических пояснений.

Ниже приведём полный список обнаруженных недостатков с кратким описанием, а также ссылками на отчёты исследователей:

1. Для просмотра ссылки Войди или Зарегистрируйся ( CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе. Для просмотра ссылки Войди или Зарегистрируйся .
2. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе. Для просмотра ссылки Войди или Зарегистрируйся
3. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Успешная эксплуатация позволяет внутреннему злоумышленнику выполнить произвольный код на системах определённых конфигураций и версии php < 8.0. Для просмотра ссылки Войди или Зарегистрируйся .
4. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 8.8 баллов). Уязвимость страницы редактирования (Invoice Edit Page), позволяющая нарушителю провести атаку межсайтового скриптинга ( XSS ). Для просмотра ссылки Войди или Зарегистрируйся .
5. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 9.6 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может сформировать вредоносную ссылку и проэкслпутировать javascript prototype pollution в браузере жертвы. Для просмотра ссылки Войди или Зарегистрируйся .
6. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 7.5 баллов). Уязвимость, способная привести к "отказу в обслуживании" при определённой конфигурации системы. Для просмотра ссылки Войди или Зарегистрируйся
7. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 7.5 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может получить доступ к пользовательским файлам. Для просмотра ссылки Войди или Зарегистрируйся .
8. Для просмотра ссылки Войди или Зарегистрируйся (CVSS 3.1: 9.3 балла). Уязвимость, связанная с отсутствием заголовка ответа типа mime, позволяющая нарушителю выполнить произвольный JavaScript-код. Для просмотра ссылки Войди или Зарегистрируйся .

Также эксперты Star Labs предоставили подробную хронологию взаимодействия с компанией « Для просмотра ссылки Войди или Зарегистрируйся ». Согласно данным из отчётов исследователей, первичный контакт с представителями компании был осуществлён в марте 2023. После долгих переговоров и череды патчей, 1-го ноября исследователи наконец разместили вышеупомянутые отчёты, сделав информацию об уязвимостях общедоступной.

Согласно информации на сайте продукта, все вышеописанные уязвимости были исправлены в различных версиях Битрикс24. Администраторам рекомендуется обновить поддерживаемые установки до крайней версии, чтобы избежать проблем, связанных с потенциальным вредоносным воздействием со стороны злоумышленников.