РОС-ПИАР
Портал питчинга российских PR-публикаций
Эксперты обнаружили пять уязвимостей в системах «1С-Битрикс»
Специалисты компании Positive Technologies в рамках партнерства с «1С-Битрикс» выявили пять уязвимостей в программных продуктах этой платформы. Как сообщает пресс-служба Positive Technologies, все обнаруженные недостатки безопасности уже устранены разработчиком, и риску подвергаются только те пользователи, которые не установили последние обновления.
Эксперты PT SWARM Дмитрий Прохоров и Всеволод Дергунов обнаружили уязвимости, которые могли привести к расширению прав предварительно скомпрометированной учетной записи. Эксперты подчеркивают, что реализовать такие векторы атак возможно только в случае успешной социальной инженерии или подбора пароля, позволивших получить доступ к учетной записи.
Обнаруженные недостатки безопасности могли привести к несанкционированному доступу к пользовательским данным, информации из системы «Битрикс» и связанных с ней приложений, а также создавали риск дальнейшего распространения атаки на внутренние ресурсы компании.
Уязвимости, найденные Прохоровым, относились к версии 25.100.300 и были связаны с неправильным управлением привилегиями и выходом за пределы назначенного каталога. Дергунов обнаружил недостатки безопасности в модуле iblock, предназначенном для работы с информационными блоками — два из них представляли собой уязвимости типа Relative Path Traversal, а третий относился к классу Local File Inclusion PHP.
Для защиты систем пользователям рекомендуется обновить компоненты «1С-Битрикс: Управления сайтом» и «1C-Битрикс24»: модуль main до версии 25.100.400, модуль fileman до версии 24.500.100 или выше, а модуль iblock до версии 24.300.100.