ГлавнаяБаза уязвимостей БДУ → BDU:2024-05252
10критическая

BDU:2024-05252

Уязвимость виртуального сервера "1C-Битрикс: Виртуальная машина" (VMBitrix), связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-07-15
Описание

Уязвимость виртуального сервера "1C-Битрикс: Виртуальная машина" (VMBitrix) связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного PHP-файла

Затрагиваемое ПО и версии
1C-Битрикс: Виртуальная машина (до 7.5.5 включительно)1C-Битрикс: Виртуальная машина (до 9.0.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Использование рекомендаций производителя:
https://www.1c-bitrix.ru/download/vmbitrix.php#tab-section-1

Обновление до версии 9.0.0

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к виртуальной машине с «1С-Битрикс: Виртуальная машина (VMBitrix)»;
- использование средств антивирусной защиты для устранения вредоносных .php-файлов в директориях веб-ресурсов

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/sartlabs/0days/blob/main/Bitrix/Exploit.txthttps://vuldb.com/ru/?id.197482https://www.1c-bitrix.ru/download/vmbitrix.php#tab-section-1
Проверьте безопасность своего сайта и почты → Полная проверка домена