Эксперты Positive Technologies обнаружили уязвимость в системе «1С‑Битрикс: Управление сайтом», такая же была выявлена в «Битрикс24». Новая уязвимость BDU:2023–05 857 имеет самую высокую оценку по шкале уязвимостей CVSS 3.0 — 10 из 10. В сентябре 2023 года для «1С‑Битрикс: Управление сайтом» было выпущено обновление для устранения уязвимости.
По словам старшего специалиста отдела тестирования на проникновение Positive Technologies Сергея Близнюка, BDU:2023–05 857 позволяла удалённому пользователю выполнить произвольный код. После этого атакующий получал возможность запускать на узле любое программное обеспечение, манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы. Это уязвимости были подвержены все сайты на основе «1С‑Битрикс: Управление сайтом», начиная с версии «Стандарт».
В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self‑hosted (не облачных) инсталляций в некоторых конфигурациях. Для устранения уязвимости необходимо обновить модуль landing до версии 23.850.0 и выше.
Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальные пользователи могут обратиться к вендору для получения патча или отключить модуль landing.
Данная уязвимость была опубликована ещё в «ТОП-5 самых опасных уязвимостей сентября». Спасибо @Bo0oM за дополнение!
