Исследователи из Сингапура внесли неоценимый вклад в безопасность Битрикс.
В продукте Для просмотра ссылки Войдиили Зарегистрируйся , популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно Для просмотра ссылки Войди или Зарегистрируйся сразу 8 критических уязвимостей, способные привести к целому спектру вредоносных действий со стороны потенциальных злоумышленников.
Ответственность за выявление всех недостатков безопасности лежит на специалистах из сингапурской компании Star Labs , опубликовавших исчерпывающие отчёты по каждой уязвимости, подробно расписав принцип их действия и снабдив всё множеством технических пояснений.
Ниже приведём полный список обнаруженных недостатков с кратким описанием, а также ссылками на отчёты исследователей:
или Зарегистрируйся ». Согласно данным из отчётов исследователей, первичный контакт с представителями компании был осуществлён в марте 2023. После долгих переговоров и череды патчей, 1-го ноября исследователи наконец разместили вышеупомянутые отчёты, сделав информацию об уязвимостях общедоступной.
Согласно информации на сайте продукта, все вышеописанные уязвимости были исправлены в различных версиях Битрикс24. Администраторам рекомендуется обновить поддерживаемые установки до крайней версии, чтобы избежать проблем, связанных с потенциальным вредоносным воздействием со стороны злоумышленников.
В продукте Для просмотра ссылки Войди
Ответственность за выявление всех недостатков безопасности лежит на специалистах из сингапурской компании Star Labs , опубликовавших исчерпывающие отчёты по каждой уязвимости, подробно расписав принцип их действия и снабдив всё множеством технических пояснений.
Ниже приведём полный список обнаруженных недостатков с кратким описанием, а также ссылками на отчёты исследователей:
- Для просмотра ссылки Войди
или Зарегистрируйся ( CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе. Для просмотра ссылки Войдиили Зарегистрируйся . - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе. Для просмотра ссылки Войдиили Зарегистрируйся - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Успешная эксплуатация позволяет внутреннему злоумышленнику выполнить произвольный код на системах определённых конфигураций и версии php < 8.0. Для просмотра ссылки Войдиили Зарегистрируйся . - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 3.1: 8.8 баллов). Уязвимость страницы редактирования (Invoice Edit Page), позволяющая нарушителю провести атаку межсайтового скриптинга ( XSS ). Для просмотра ссылки Войдиили Зарегистрируйся . - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 3.1: 9.6 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может сформировать вредоносную ссылку и проэкслпутировать javascript prototype pollution в браузере жертвы. Для просмотра ссылки Войдиили Зарегистрируйся . - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 3.1: 7.5 баллов). Уязвимость, способная привести к "отказу в обслуживании" при определённой конфигурации системы. Для просмотра ссылки Войдиили Зарегистрируйся - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 3.1: 7.5 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может получить доступ к пользовательским файлам. Для просмотра ссылки Войдиили Зарегистрируйся . - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS 3.1: 9.3 балла). Уязвимость, связанная с отсутствием заголовка ответа типа mime, позволяющая нарушителю выполнить произвольный JavaScript-код. Для просмотра ссылки Войдиили Зарегистрируйся .
Согласно информации на сайте продукта, все вышеописанные уязвимости были исправлены в различных версиях Битрикс24. Администраторам рекомендуется обновить поддерживаемые установки до крайней версии, чтобы избежать проблем, связанных с потенциальным вредоносным воздействием со стороны злоумышленников.
- Источник новости
- www.securitylab.ru