Уязвимость файла bitrix/modules/main/classes/general/user_options.php модуля main сервиса для управления бизнесом Битрикс24 связана с некорректным внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код и повысить свои привилегии путём добавления произвольного контента в существующие PHP-файлы или десериализации PHAR
Использование рекомендаций:
Обновление программного обеспечения до версии 23.200.0.
Компенсирующие меры:
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования уровня веб-приложений;
- контроль журналов трафика на наличие изменений в «BITRIX_SM_LAST_SETTINGS» cookies-файлов для отслеживания попыток эксплуатации уязвимости;
- cканирование файловой системы на наличие phar-файлов, содержащих строку «__HALT_COMPILER()».
| Балл | 9 — высокая опасность |