Уязвимость компонента bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js модуля main сервиса для управления бизнесом Битрикс24 связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript-код с помощью внедрения произвольного содержимого в объекты Prototype __proto__[tag] и __proto__[text]
Использование рекомендаций:
Обновление программного обеспечения до версии 22.600.200.
Компенсирующие меры:
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования уровня веб-приложений;
- контроль журналов трафика на наличие строки __proto__ в параметрах запроса.
| Балл | 10 — критическая опасность |