Патча нет, но паниковать рано: Как защитить свой сайт на Bitrix прямо сейчас

1С-Битрикс RCE CVE-2025-67886 CVE-2025-67887 Translate Module
Патча нет, но паниковать рано: Как защитить свой сайт на Bitrix прямо сейчас
1С-Битрикс RCE CVE-2025-67886 CVE-2025-67887 Translate Module

Три условия, без которых ваш «Битрикс» не взломать.

image

Эксперты CyberOK обращают внимание на две уязвимости в 1C-Bitrix — CVE-2025-67886 и CVE-2025-67887, публично раскрытые 15 декабря 2025 года. Патч на текущий момент не выпущен, PoC доступен.

Уязвимости обнаружены исследователем Egidio Romano в модуле Translate 1C-Bitrix, который отвечает за загрузку и распаковку архивов с локализациями во временную директорию. Система не проверяет содержимое архивов перед извлечением, что позволяет атакующему загрузить архив с PHP-файлом и специально сформированным .htaccess, а затем добиться выполнения вредоносного кода на сервере.

Впрочем, эксплуатация имеет ряд ограничений. Для атаки необходимы права «SOURCE» и «WRITE» на модуль Translate — привилегии, которые фактически уже подразумевают возможность редактирования PHP-файлов и доступ к инструменту PHP command line, позволяющему выполнять код без загрузки файлов. Кроме того, многое зависит от конфигурации веб-сервера: инфраструктуры на чистом Nginx без обработки .htaccess не подвержены полноценному RCE, поскольку PHP-файлы будут отдаваться как статика. В этом случае риск смещается в сторону arbitrary file write в веб-доступной зоне. Полноценная атака с выполнением кода возможна на Apache с включённым AllowOverride или на связке Nginx и Apache.

По оценкам экспертов, в Рунете насчитывается около 2 миллионов инстансов 1С-Bitrix, из которых потенциально уязвимыми могут быть порядка 10%. Уязвимости затрагивают 1C-Bitrix версий до 25.100.500 и Bitrix24 версий до 25.100.300 включительно.

Специалисты CyberOK оценили базовый CVSS v3.1 в 7.2 балла (высокий), с учётом временных метрик — 6.8. Однако эксперты отмечают, что на практике риск существенно ниже из-за требуемых привилегий. Рейтинг Real World Danger составил 3 из 5.

На попытку эксплуатации в логах указывает последовательная цепочка обращений к эндпоинтам: сначала upload, затем extract и наконец apply. Последний наиболее критичен, поскольку возвращает путь к временной директории, где может находиться загруженный веб-шелл. Администраторам следует проверить временные директории вида BXTEMP на наличие подозрительных PHP-файлов, например по пути /www/upload/tmp/BXTEMP-2025-12-18/16/translate.

До выхода официального исправления рекомендуется ограничить права доступа к модулю Translate — снять SOURCE/WRITE со всех пользователей, кроме узкого круга администраторов, либо временно закрыть модуль. Также следует закрыть сетевой доступ к контроллерам translate через WAF или ACL, оставив доступ только с административных IP или через VPN. Для Apache необходимо установить AllowOverride None в writable-директориях и запретить выполнение PHP в зонах загрузки. Для Nginx — убедиться, что PHP исполняется только в ожидаемых location и не из upload, tmp, кэшей и временных директорий.