50 000 сайтов на «Битриксе» под угрозой. В популярных сторонних плагинах нашли критические уязвимости

Исследователь СайберОК Роберт Торосян обнаружил несколько уязвимостей в популярных сторонних плагинах Esolutions, размещённых в каталоге решений 1С-Битрикс: Управление сайтом.

До 50 000 сайтов в российском сегменте интернета могут быть подвержены хотя бы одной из обнаруженных уязвимостей.

Уязвимости Sensitive Data Exposure и Path Traversal, особенно действующие совместно, представляют критическую угрозу безопасности. Они позволяют злоумышленникам раскрывать чувствительные данные (включая хэши паролей всех пользователей) напрямую через интерфейс пользователя с правами контент-редактора или получать несанкционированный доступ к произвольным файлам сервера — конфигурационным файлам, базам данных, исходному коду. Это может привести к полной компрометации учётных записей, краже конфиденциальной информации, перебору паролей в офлайн-режиме и, в конечном итоге, захвату контроля над сервером.

Затронутые плагины:

— «Экспорт/Импорт товаров в Excel» (esol.importexportexcel) — уязвимы все версии до 3.2.6, COK-2025-12-04 / BDU:2025-16324, CVSS v4: 7.1 (высокий)

— «Импорт из Excel» (kda.importexcel) — уязвимы все версии до 3.2.6, COK-2025-12-05 / BDU:2025-16325, CVSS v4: 7.1 (высокий)

— «Многофункциональный экспорт/импорт в Excel» (esol.allimportexport) — уязвимы все версии до 0.6.4, COK-2025-12-08 / BDU:2025-16349 и COK-2025-12-09 / BDU:2025-16350, CVSS v4: 7.1 (высокий)

Для предотвращения эксплуатации уязвимостей необходимо обновиться до последних версий. Также рекомендуется провести аудит на предмет path traversal в собственных плагинах и расширениях.