Обнаружены уязвимости в Битрикс24

Недавно компанией STAR Labs обнаружены сразу несколько критических уязвимостей в Bitrix24.

Недавно компанией STAR Labs обнаружены сразу несколько критических уязвимостей в Bitrix24.

1. Удалённое выполнение кода через небезопасное создание временных файлов (CVE-2023-1713): Эта уязвимость позволяет удалённым атакующим выполнять произвольный код путём загрузки специально созданного файла «.htaccess». Проблема возникает из-за небезопасного создания временных файлов в instagram.php, затрагивает версию Bitrix24 22.0.300 и имеет CVSS оценку 8.8​​.
2. Небезопасное извлечение глобальных переменных (CVE-2023-1719): С оценкой CVSS 7.5, уязвимость позволяет непроверенным удалённым атакующим перечислять вложения на сервере и выполнять произвольный JavaScript в браузере жертвы, а также потенциально произвольный PHP код на сервере, если жертва имеет административные привилегии​​.
3. Отказ в обслуживании через неправильный доступ к потоку файлов (CVE-2023-1718): Эта уязвимость позволяет неаутентифицированным атакующим вызвать неработоспособность веб-сервера из-за чрезмерного потребления ресурсов. Уязвимость затрагивает ту же версию Bitrix24 и имеет оценку CVSS 7.5​​.
4. Сохранённый межсайтовый скриптинг через загрузку файла (CVE-2023-1720): Уязвимость с оценкой CVSS 9.6 позволяет атакующим выполнять произвольный JavaScript код в браузере жертвы через загруженный HTML файл. Проблема связана с отсутствием MIME-типа в заголовке ответа для загруженных файлов​​.
5. Межсайтовый скриптинг (XSS) через загрязнение прототипа на стороне клиента (CVE-2023-1717): Эта критическая уязвимость с оценкой CVSS 9.6 позволяет удаленным атакующим выполнять произвольный JavaScript-код в браузере жертвы. Она возникает из-за загрязнения прототипа в script.js и может привести к выполнению PHP-кода на сервере, если жертва обладает административными привилегиями​​​​​​.
6. Хранящийся межсайтовый скриптинг (XSS) через неправильную нейтрализацию ввода на странице редактирования счета-фактуры (CVE-2023-1715 & CVE-2023-1716): Эта уязвимость также оценивается как критическая (CVSS 9.0) и позволяет атакующим выполнять произвольный JavaScript в браузере жертвы. Атакующий может вставить XSS-полезную нагрузку через поле USER_DESCRIPTION при редактировании счета-фактуры​​​​​​.
7. Удаленное выполнение команд (RCE) через небезопасное извлечение переменных (CVE-2023-1714): Уязвимость с возможностью удаленного выполнения команд путем добавления произвольного содержимого к существующим PHP-файлам или десериализации PHAR. Это связано с неправильной обработкой переменных, контролируемых атакующими, что может привести к выполнению кода​​​​.