Эксперты Positive Technologies обнаружили уязвимость в системе управления сайтом «1С‑Битрикс: Управление сайтом», похожая уязвимость была выявлена в «Битрикс24» в начале 2023 года. Новая уязвимость BDU:2023–05 857 имеет самую высокую оценку максимальной оценкой по шкале уязвимостей CVSS 3.0 — 10 из 10. В сентябре 2023 года для «1С‑Битрикс: Управление сайтом» было выпущено обновление для устранения уязвимости.
По словам старшего специалиста отдела тестирования на проникновение Positive Technologies Сергея Близнюка, BDU:2023–05 857 позволяла удалённому пользователю выполнить произвольный код. После этого атакующий получал возможность запускать на узле любое программное обеспечение, манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы. Это уязвимости были подвержены все сайты на основе «1С‑Битрикс: Управление сайтом», начиная с версии «Стандарт».
В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self‑hosted (не облачных) инсталляций в некоторых конфигурациях. Для устранения уязвимости необходимо обновить модуль landing до версии 23.850.0 и выше.
Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальные пользователи могут обратиться к вендору для получения патча или отключить модуль landing.