ГлавнаяБаза уязвимостей БДУ → BDU:2023-07461
10критическая

BDU:2023-07461

Уязвимость компонента bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js модуля main сервиса для управления бизнесом Битрикс24, позволяющая нарушителю выполнить произвольный JavaScript-код
Опубликовано: 2023-11-03
Описание

Уязвимость компонента bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js модуля main сервиса для управления бизнесом Битрикс24 связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript-код с помощью внедрения произвольного содержимого в объекты Prototype __proto__[tag] и __proto__[text]

Затрагиваемое ПО и версии
Битрикс24 (22.0.300)
Способ устранения

Использование рекомендаций:
Обновление программного обеспечения до версии 22.600.200.

Компенсирующие меры:
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования уровня веб-приложений;
- контроль журналов трафика на наличие строки __proto__ в параметрах запроса.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://starlabs.sg/advisories/23/23-1717/https://vuldb.com/?id.244183https://www.1c-bitrix.ru/vul/18880038/
Проверьте безопасность своего сайта и почты → Полная проверка домена