10-балльная RCE-уязвимость в CMS 1С-Битрикс затронула 17 тысяч сайтов
Главная » Новости
Первый летний опен-эйр для специалистов по кибербезопасности 17 июля в 11:00 встречаемся в «Берёзы Парк Строгино», где обсудим ИИ в кибербезе, таргетированные атаки, цифровую криминалистику и Bug Bounty.
В программе:
• доклады и практические кейсы;
• воркшопы и киберучения;
• спикерские консультации и живой нетворкинг;
• игровые активности и квест по социнженерии;
• научпоп с Владимиром Сурдиным.→ Купить билет
Реклама. АО «Инфосистемы Джет», ИНН 7729058675, 7+

10-балльная RCE-уязвимость в CMS 1С-Битрикс затронула 17 тысяч сайтов

Татьяна Никитина 06 Декабря 2023 - 17:33
...
10-балльная RCE-уязвимость в CMS 1С-Битрикс затронула 17 тысяч сайтов

Эксперт Positive Technologies обнаружил в системе «1С-Битрикс: Управление сайтом» уязвимость, опасность которой была оценена в 10 баллов по шкале CVSS. Эта же проблема актуальна для некоторых CRM Битрикс24; соответствующий патч доступен с 14 сентября.

Согласно бюллетеню «1С-Битрикс», данная уязвимость привязана к модулю landing и вызвана ошибками синхронизации при использовании общего ресурса. Эксплойт позволяет удаленно выполнить любую системную команду, захватить контроль над хостом и проникнуть во внутреннюю сеть.

«Уязвимость позволяла удаленному пользователю выполнить произвольный код, — уточняет автор находки, специалист по пентесту Сергей Близнюк. — Это давало потенциальному атакующему возможность запускать на узле любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы».

Затронутыми оказались все сайты, использующие «1С-Битрикс: Управление сайтом» в различных редакциях, начиная со «Стандарт». Под ударом оказались также некоторые резидентные серверы Bitrix24 (self-hosted).

По данным мониторинга PT Expert Security Center, на момент выхода бюллетеня разработчика уязвимые версии CMS-системы использовали около 17 тыс. сайтов — в основном в TLD-зонах RU, BY, KZ, KG и UA. Владельцами 11% таких ресурсов оказались компании из сферы электронной коммерции.

Патч для уязвимости был включен в состав сборки 23.850.0 модуля landing. Обновление доступно пользователям при наличии PHP 8.0 и активной лицензии. Заплатку можно также получить, обратившись в техподдержку; в противном случае придется отключить landing, чтобы предотвратить эксплойт.

К сожалению, уязвимости в CMS «1С-Битрикс» нередки, и каждый раз они ставят под удар большое количество обитателей рунета. В CRM Битрикс24 в этом году было устранено как минимум восемь опасных проблем.

Эффективную защиту от эксплойта уязвимостей в веб-приложениях, по словам экспертов, предоставляют ИБ-продукты класса WAF. Выявить атаку через дыру в CMS-модуле landing также поможет новое правило, созданное для MaxPatrol SIEM 7.0 и выше.

Следующая главная новость »
AM LiveБезопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Песков предложил перейти с iPhone на Android ради VK
Екатерина Быстрова 25 Июня 2026 - 13:28
AndroidiOS Домашние пользователи Apple
Песков предложил перейти с iPhone на Android ради VK

После исчезновения ряда приложений VK из российского App Store пресс-секретарь президента России Дмитрий Песков посоветовал пользователям, которым важны сервисы холдинга, сменить платформу.

Отвечая на вопрос ТАСС, Песков заявил, что решение проблемы существует и оно достаточно простое.

«Для тех, кто действительно является активным пользователем сервиса, всегда есть моментальное решение проблемы. Перейдите на Android, перейдите на наши системы», — сказал представитель Кремля.

Он добавил, что после этого пользователи смогут продолжить пользоваться привычными сервисами без ограничений.

Заявление прозвучало на фоне исчезновения из App Store сразу нескольких приложений VK. Сейчас пользователям недоступны для скачивания «Дзен», VK Video, VK Мессенджер, VK Музыка и VK Знакомства.

Причины удаления сервисов пока официально не раскрыты. Для тех, у кого приложения уже установлены, они продолжают работать. Однако установить их заново на новое устройство или скачать после удаления сейчас невозможно — до появления официальных разъяснений или возможного возвращения приложений в App Store.

AM LiveБезопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!
В магазины и кафе по QR-коду: в Питере готовят цифровую проверку возраста
Новость
В магазины и кафе по QR-коду: в Питере готовят цифровую пров...
Нейросети поспорили в суде: адвокатов наказали за выдуманные прецеденты
Новость
Нейросети поспорили в суде: адвокатов наказали за выдуманные...
Microsoft и автор YellowKey поссорились из-за публичного эксплойта
Новость
Microsoft и автор YellowKey поссорились из-за публичного экс...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.