ГлавнаяБаза уязвимостей БДУ → BDU:2023-07457
9высокая

BDU:2023-07457

Уязвимость файла bitrix/modules/main/classes/general/user_options.php модуля main сервиса для управления бизнесом Битрикс24, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии
Опубликовано: 2023-11-03
Описание

Уязвимость файла bitrix/modules/main/classes/general/user_options.php модуля main сервиса для управления бизнесом Битрикс24 связана с некорректным внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код и повысить свои привилегии путём добавления произвольного контента в существующие PHP-файлы или десериализации PHAR

Затрагиваемое ПО и версии
Битрикс24 (22.0.300)
Способ устранения

Использование рекомендаций:
Обновление программного обеспечения до версии 23.200.0.

Компенсирующие меры:
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования уровня веб-приложений;
- контроль журналов трафика на наличие изменений в «BITRIX_SM_LAST_SETTINGS» cookies-файлов для отслеживания попыток эксплуатации уязвимости;
- cканирование файловой системы на наличие phar-файлов, содержащих строку «__HALT_COMPILER()».

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://starlabs.sg/advisories/23/23-1714/https://vuldb.com/ru/?id.244173https://www.1c-bitrix.ru/vul/18879796/
Проверьте безопасность своего сайта и почты → Полная проверка домена