PROBIV.ONION PROBIV.STORE PROBIV.BLOG Наш Телеграм Светлый дизайн

Новости Обнаружены критические уязвимости в Битрикс24: рекомендации по обновлению

  • Автор темы BOOX
  • Дата начала
BOOX

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.809
Репутация
11.595
Реакции
61.713
RUB
50
Исследователи из Сингапура внесли неоценимый вклад в Битрикс24.


В продукте
Для просмотра ссылки необходимо нажать Вход или Регистрация
, популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно
Для просмотра ссылки необходимо нажать Вход или Регистрация
сразу 8 критических уязвимостей, способные привести к целому спектру вредоносных действий со стороны потенциальных злоумышленников.

Ответственность за выявление всех недостатков безопасности лежит на специалистах из сингапурской компании
Для просмотра ссылки необходимо нажать Вход или Регистрация
, опубликовавших исчерпывающие отчёты по каждой уязвимости, подробно расписав принцип их действия и снабдив всё множеством технических пояснений.

image


В продукте
Для просмотра ссылки необходимо нажать Вход или Регистрация
, популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно
Для просмотра ссылки необходимо нажать Вход или Регистрация
сразу 8 критических уязвимостей, способные привести к целому спектру вредоносных действий со стороны потенциальных злоумышленников.
Ответственность за выявление всех недостатков безопасности лежит на специалистах из сингапурской компании
Для просмотра ссылки необходимо нажать Вход или Регистрация
, опубликовавших исчерпывающие отчёты по каждой уязвимости, подробно расписав принцип их действия и снабдив всё множеством технических пояснений.


Ниже приведём полный список обнаруженных недостатков с кратким описанием, а также ссылками на отчёты исследователей:
  1. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  2. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе.
    Для просмотра ссылки необходимо нажать Вход или Регистрация

  3. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Успешная эксплуатация позволяет внутреннему злоумышленнику выполнить произвольный код на системах определённых конфигураций и версии php < 8.0.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  4. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 8.8 баллов). Уязвимость страницы редактирования (Invoice Edit Page), позволяющая нарушителю провести атаку межсайтового скриптинга (
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    ).
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  5. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 9.6 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может сформировать вредоносную ссылку и проэкслпутировать
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    prototype pollution в браузере жертвы.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  6. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 7.5 баллов). Уязвимость, способная привести к "отказу в обслуживании" при определённой конфигурации системы.
    Для просмотра ссылки необходимо нажать Вход или Регистрация

  7. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 7.5 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может получить доступ к пользовательским файлам.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  8. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 9.3 балла). Уязвимость, связанная с отсутствием заголовка ответа типа mime, позволяющая нарушителю выполнить произвольный JavaScript-код.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
Также эксперты Star Labs предоставили подробную хронологию взаимодействия с компанией «
Для просмотра ссылки необходимо нажать Вход или Регистрация
». Согласно данным из отчётов исследователей, первичный контакт с представителями компании был осуществлён в марте 2023. После долгих переговоров и череды патчей, 1-го ноября исследователи наконец разместили вышеупомянутые отчёты, сделав информацию об уязвимостях общедоступной.

Согласно информации на сайте продукта, все вышеописанные уязвимости были исправлены в различных версиях Битрикс24. Администраторам рекомендуется обновить поддерживаемые установки до крайней версии, чтобы избежать проблем, связанных с потенциальным вредоносным воздействием со стороны злоумышленников.

Для просмотра ссылки необходимо нажать Вход или Регистрация
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

Собака
Новости В Hi-End роутерах D-Link обнаружили 5 уязвимостей безопасности
Ответы
0
Просмотры
165
Собака
Собака
BOOX
Новости Zero-Click в календаре macOS раскрывала данные пользователей iCloud
Ответы
0
Просмотры
137
BOOX
BOOX
Собака
Новости Обновите Chrome как можно скорее, пока ваши данные не оказались в руках злоумышленников.
Ответы
0
Просмотры
782
Собака
Собака
Собака
Новости «вторник исправлений» укрепляет киберзащиту Windows
Ответы
0
Просмотры
625
Собака
Собака
Собака
Новости Майский Patch Tuesday закрывает 61 брешь в безопасности продуктов Microsoft
Ответы
0
Просмотры
241
Собака
Собака
Сверху Снизу