PROBIV.ONION PROBIV.STORE PROBIV.BLOG Наш Телеграм Светлый дизайн

Новости Обнаружены критические уязвимости в Битрикс24: рекомендации по обновлению

  • Автор темы BOOX
  • Дата начала
BOOX

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
27.659
Репутация
11.420
Реакции
60.986
RUB
50
Исследователи из Сингапура внесли неоценимый вклад в Битрикс24.


В продукте
Для просмотра ссылки необходимо нажать Вход или Регистрация
, популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно
Для просмотра ссылки необходимо нажать Вход или Регистрация
сразу 8 критических уязвимостей, способные привести к целому спектру вредоносных действий со стороны потенциальных злоумышленников.

Ответственность за выявление всех недостатков безопасности лежит на специалистах из сингапурской компании
Для просмотра ссылки необходимо нажать Вход или Регистрация
, опубликовавших исчерпывающие отчёты по каждой уязвимости, подробно расписав принцип их действия и снабдив всё множеством технических пояснений.

image


В продукте
Для просмотра ссылки необходимо нажать Вход или Регистрация
, популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно
Для просмотра ссылки необходимо нажать Вход или Регистрация
сразу 8 критических уязвимостей, способные привести к целому спектру вредоносных действий со стороны потенциальных злоумышленников.
Ответственность за выявление всех недостатков безопасности лежит на специалистах из сингапурской компании
Для просмотра ссылки необходимо нажать Вход или Регистрация
, опубликовавших исчерпывающие отчёты по каждой уязвимости, подробно расписав принцип их действия и снабдив всё множеством технических пояснений.


Ниже приведём полный список обнаруженных недостатков с кратким описанием, а также ссылками на отчёты исследователей:
  1. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  2. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе.
    Для просмотра ссылки необходимо нажать Вход или Регистрация

  3. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Успешная эксплуатация позволяет внутреннему злоумышленнику выполнить произвольный код на системах определённых конфигураций и версии php < 8.0.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  4. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 8.8 баллов). Уязвимость страницы редактирования (Invoice Edit Page), позволяющая нарушителю провести атаку межсайтового скриптинга (
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    ).
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  5. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 9.6 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может сформировать вредоносную ссылку и проэкслпутировать
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    prototype pollution в браузере жертвы.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  6. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 7.5 баллов). Уязвимость, способная привести к "отказу в обслуживании" при определённой конфигурации системы.
    Для просмотра ссылки необходимо нажать Вход или Регистрация

  7. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 7.5 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может получить доступ к пользовательским файлам.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
  8. Для просмотра ссылки необходимо нажать Вход или Регистрация
    (CVSS 3.1: 9.3 балла). Уязвимость, связанная с отсутствием заголовка ответа типа mime, позволяющая нарушителю выполнить произвольный JavaScript-код.
    Для просмотра ссылки необходимо нажать Вход или Регистрация
    .
Также эксперты Star Labs предоставили подробную хронологию взаимодействия с компанией «
Для просмотра ссылки необходимо нажать Вход или Регистрация
». Согласно данным из отчётов исследователей, первичный контакт с представителями компании был осуществлён в марте 2023. После долгих переговоров и череды патчей, 1-го ноября исследователи наконец разместили вышеупомянутые отчёты, сделав информацию об уязвимостях общедоступной.

Согласно информации на сайте продукта, все вышеописанные уязвимости были исправлены в различных версиях Битрикс24. Администраторам рекомендуется обновить поддерживаемые установки до крайней версии, чтобы избежать проблем, связанных с потенциальным вредоносным воздействием со стороны злоумышленников.

Для просмотра ссылки необходимо нажать Вход или Регистрация
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

Собака
Новости Обновите Chrome как можно скорее, пока ваши данные не оказались в руках злоумышленников.
Ответы
0
Просмотры
728
Собака
Собака
Собака
Новости «вторник исправлений» укрепляет киберзащиту Windows
Ответы
0
Просмотры
559
Собака
Собака
Собака
Новости Майский Patch Tuesday закрывает 61 брешь в безопасности продуктов Microsoft
Ответы
0
Просмотры
165
Собака
Собака
BOOX
Новости Google устранила четыре опасные уязвимости в Chrome и рекомендовала пользователя обновиться
Ответы
0
Просмотры
170
BOOX
BOOX
Собака
Новости Купил сметаны – лишился зарплаты
Ответы
0
Просмотры
585
Собака
Собака
Сверху Снизу