5️⃣ Эксперты PT SWARM Дмитрий Прохоров и Всеволод Дергунов обнаружили пять недостатков безопасности в системах «1С-Битрикс»: https://vk.cc/cOwPq3 С 2023 года мы тесно сотрудничаем с «1С-Битрикс» для выявления потенциальных уязвимостей и усиления безопасности. Привлечение нашей технической экспертизы позволяет компании обеспечить высокий уровень защиты данных и повышает устойчивость систем. ⚠️ Берегите учетные данные Недостатки BDU:2025-08663 и BDU:2025-08662 с одинаковой оценкой 7,1 балла по шкале CVSS 4.0 могли привести к удаленному исполнению произвольного кода. Они затронули версию 25.100.300 системы и были связаны с неправильным управлением привилегиями и выходом за пределы назначенного каталога. Успешная эксплуатация уязвимостей могла бы позволить злоумышленникам расширить права для предварительно скомпрометированной учетной записи и получить несанкционированный доступ к данным пользователей, включая информацию из системы «Битрикс» и взаимодействующих с ней приложений. Среди других возможных последствий — риск дальнейшего распространения атаки на внутренние ресурсы компании. Пользователям необходимо обновить компоненты в составе «1С-Битрикс: Управление сайтом» и «1C-Битрикс24»: модуль main до версии 25.100.400, а модуль fileman — до версии 24.500.100 или выше. Наши эксперты отдельно отмечают, что реализовать эти векторы атак было возможно только в случае потери учетной записи (например, вследствие успешного подбора пароля или применения социальной инженерии). Чтобы избежать этого, нужно строго контролировать учетные данные и усилить парольную политику, подключив двухфакторную аутентификацию. 🛡 Защитите свои сайты Еще три недостатка безопасности были найдены в модуле iblock для работы с информационными блоками, при помощи которых можно публиковать на сайтах каталоги товаров, новостные блоки и справочники. BDU:2025-08664 и BDU:2025-08665, набравшие по 6,9 балла по шкале CVSS 4.0, — это уязвимости типа relative path traversal, позволяющие атакующим манипулировать путями к файлам и папкам, находящимся за пределами разрешенных каталогов. Другой обнаруженный дефект (BDU:2025-08666, 8,9 балла по шкале CVSS 4.0) позволяет приложению исполнять произвольные файлы скриптов, путь к которым указывает сам пользователь. Выявленные недостатки могли быть задействованы только злоумышленником, имеющим авторизованный доступ к системе с правами управления информационными блоками в «1С-Битрикс». Для этого компонента разработчик опубликовал патч 24.300.100. Вендор уже устранил все уязвимости, и сейчас они затрагивают только тех пользователей, которые не установили обновления. Прочитать о них подробнее с комментариями наших экспертов можно в новости на сайте: https://vk.cc/cOwPq3 #PositiveЭксперты #PositiveTechnologies