Обнаружены критические уязвимости в Битрикс24: рекомендации по обновлению

В продукте Битрикс24 , популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно были обнаружены сразу 8 критических уязвимостей, способные привести к целому спектру вредоносных действий со стороны потенциальных злоумышленников.

Ответственность за выявление всех недостатков безопасности лежит на специалистах из сингапурской компании Star Labs, опубликовавших исчерпывающие отчёты по каждой уязвимости, подробно расписав принцип их действия и снабдив всё множеством технических пояснений.

Ниже приведём полный список обнаруженных недостатков с кратким описанием, а также ссылками на отчёты исследователей:

1. CVE-2023-1713 (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе. Отчёт Star Labs .
2. CVE-2023-1714 (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибками в механизме импорта данных. Успешная эксплуатация позволяет внутреннему злоумышленнику повысить свои привилегии в системе. Отчёт Star Labs.
3. CVE-2023-1715 (CVSS 3.1: 8.8 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Успешная эксплуатация позволяет внутреннему злоумышленнику выполнить произвольный код на системах определённых конфигураций и версии php < 8.0. Отчёт Star Labs .
4. CVE-2023-1716 (CVSS 3.1: 8.8 баллов). Уязвимость страницы редактирования (Invoice Edit Page), позволяющая нарушителю провести атаку межсайтового скриптинга (XSS). Отчёт Star Labs .
5. CVE-2023-1717 (CVSS 3.1: 9.6 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может сформировать вредоносную ссылку и проэкслпутировать javascript prototype pollution в браузере жертвы. Отчёт Star Labs .
6. CVE-2023-1718 (CVSS 3.1: 7.5 баллов). Уязвимость, способная привести к "отказу в обслуживании" при определённой конфигурации системы. Отчёт Star Labs.
7. CVE-2023-1719 (CVSS 3.1: 7.5 баллов). Уязвимость, связанная с ошибкой в обработке входных данных. Злоумышленник может получить доступ к пользовательским файлам. Отчёт Star Labs .
8. CVE-2023-1720 (CVSS 3.1: 9.3 балла). Уязвимость, связанная с отсутствием заголовка ответа типа mime, позволяющая нарушителю выполнить произвольный JavaScript-код. Отчёт Star Labs .

Также эксперты Star Labs предоставили подробную хронологию взаимодействия с компанией « 1С-Битрикс ». Согласно данным из отчётов исследователей, первичный контакт с представителями компании был осуществлён в марте 2023. После долгих переговоров и череды патчей, 1-го ноября исследователи наконец разместили вышеупомянутые отчёты, сделав информацию об уязвимостях общедоступной.

Согласно информации на сайте продукта, все вышеописанные уязвимости были исправлены в различных версиях Битрикс24. Администраторам рекомендуется обновить поддерживаемые установки до крайней версии, чтобы избежать проблем, связанных с потенциальным вредоносным воздействием со стороны злоумышленников.