Патча нет, но паниковать рано: Как защитить свой сайт на Bitrix прямо сейчас

Эксперты CyberOK обращают внимание на две уязвимости в 1C-Bitrix — CVE-2025-67886 и CVE-2025-67887, публично раскрытые 15 декабря 2025 года. Патч на текущий момент не выпущен, PoC доступен.

Уязвимости обнаружены исследователем Egidio Romano в модуле Translate 1C-Bitrix, который отвечает за загрузку и распаковку архивов с локализациями во временную директорию. Система не проверяет содержимое архивов перед извлечением, что позволяет атакующему загрузить архив с PHP-файлом и специально сформированным .htaccess, а затем добиться выполнения вредоносного кода на сервере.

Впрочем, эксплуатация имеет ряд ограничений. Для атаки необходимы права «SOURCE» и «WRITE» на модуль Translate — то есть повышенные привилегии внутри компонента, что заметно снижает практический риск. Далее многое зависит от конфигурации веб-сервера: на Apache при включённом AllowOverride или на связке Nginx и Apache сценарий ближе к «полноценному» выполнению кода. В случае с Nginx итоговый эффект определяется конкретными правилами обработки PHP и запретами на выполнение в writable-директориях: при корректной настройке риск может смещаться в сторону arbitrary file write в веб-доступной зоне, но при небезопасной конфигурации выполнение PHP из таких путей также возможно.

По оценкам экспертов, в Рунете насчитывается около 2 миллионов инстансов 1С-Bitrix, из которых потенциально уязвимыми могут быть порядка 10%. Уязвимости затрагивают 1C-Bitrix версий до 25.100.500 и Bitrix24 версий до 25.100.300 включительно.

Специалисты CyberOK оценили базовый CVSS v3.1 в 7.2 балла (высокий), с учётом временных метрик — 6.8. Однако эксперты отмечают, что на практике риск существенно ниже из-за требуемых привилегий. Рейтинг Real World Danger составил 3 из 5.

На попытку эксплуатации в логах указывает последовательная цепочка обращений к эндпоинтам: сначала upload, затем extract и наконец apply. Последний наиболее критичен, поскольку возвращает путь к временной директории, где может находиться загруженный веб-шелл. Администраторам следует проверить временные директории вида BXTEMP на наличие подозрительных PHP-файлов, например по пути /www/upload/tmp/BXTEMP-2025-12-18/16/translate.

До выхода официального исправления рекомендуется ограничить права доступа к модулю Translate — снять SOURCE/WRITE со всех пользователей, кроме узкого круга администраторов, либо временно закрыть модуль. Также следует закрыть сетевой доступ к контроллерам translate через WAF или ACL, оставив доступ только с административных IP или через VPN. Для Apache необходимо установить AllowOverride None в writable-директориях и запретить выполнение PHP в зонах загрузки. Для Nginx — убедиться, что PHP исполняется только в ожидаемых location и не из upload, tmp, кэшей и временных директорий.

18 декабря Центр информационной безопасности и мониторинга инцидентов компании «1С-Битрикс» заявил, что не подтверждает наличие уязвимости в продукте. По словам представителей компании, загрузка файлов в модуль «Переводы» доступна только администраторам, а необходимые для эксплуатации права соответствуют правам администратора. Администратор уполномочен изменять и запускать любой код на проекте. «Таким образом, уязвимость отсутствует», — говорится в заявлении. Компания также напомнила о важности своевременных обновлений для обеспечения безопасности корпоративных данных.