RCE, Path Traversal и утечка токенов: как ошибки «1С-Битрикс» могли ударить по бизнесу
NewsMakerПроверьте версии модулей Bitrix.
С 2023 года Positive Technologies и 1С-Битрикс сотрудничают для выявления уязвимостей и повышения устойчивости систем. Привлечение независимой экспертизы помогает вендору обеспечивать высокий уровень защиты данных.
В рамках партнёрства специалисты PT SWARM Дмитрий Прохоров и Всеволод Дергунов нашли пять уязвимостей в системах «1С-Битрикс» . Ошибки уже исправлены, риск сохраняется только для пользователей, не установивших обновления. Эксплуатация возможна при компрометации учётной записи через социальную инженерию или подбор пароля. Эксперты рекомендуют использовать двухфакторную аутентификацию и строго контролировать доступ.
Атака могла привести к расширению прав скомпрометированного аккаунта и несанкционированному доступу к данным, включая информацию из «Битрикс» и связанных приложений, а также к распространению внутри корпоративной сети. Закрытые уязвимости теоретически позволяли удалённое выполнение кода ( RCE ) при наличии доступа. Недостатки BDU:2025-08663 и BDU:2025-08662 (оценка 7,1 CVSS 4.0) были связаны с неправильным управлением привилегиями и Path Traversal в версии 25.100.300.
Рекомендовано обновить модули: main — до 25.100.400 , fileman — до 24.500.100 или выше. По словам Дмитрия Прохорова, ошибки небезопасной десериализации могли позволить злоумышленнику закрепиться в системе, читать локальные файлы, исходный код, токены и пароли к другим ресурсам.
Всеволод Дергунов выявил уязвимости в модуле iblock для работы с информационными блоками. Обновление до версии 24.300.100 устраняет BDU:2025-08664 и BDU:2025-08665 (Relative Path Traversal, 6,9 CVSS) и BDU:2025-08666 (PHP Local File Inclusion, 8,9 CVSS). Эти ошибки могли использоваться только авторизованным пользователем с правами управления инфоблоками.
Возможность указывать некорректные пути в настройках инфоблоков открывала доступ к конфигурациям системы и сторонних приложений, но требовала действительных учётных данных и высоких привилегий. По словам Дергунова, через BDU:2025-08666 атакующий мог загрузить и запустить вредоносный код, закрепившись в сети.
Леонид Плетнёв, бизнес-партнёр по ИБ 1С-Битрикс, подчеркнул важность своевременной установки обновлений, использования сложных паролей и двухфакторной аутентификации.
С 2023 года Positive Technologies и 1С-Битрикс сотрудничают для выявления уязвимостей и повышения устойчивости систем. Привлечение независимой экспертизы помогает вендору обеспечивать высокий уровень защиты данных.
В рамках партнёрства специалисты PT SWARM Дмитрий Прохоров и Всеволод Дергунов нашли пять уязвимостей в системах «1С-Битрикс» . Ошибки уже исправлены, риск сохраняется только для пользователей, не установивших обновления. Эксплуатация возможна при компрометации учётной записи через социальную инженерию или подбор пароля. Эксперты рекомендуют использовать двухфакторную аутентификацию и строго контролировать доступ.
Атака могла привести к расширению прав скомпрометированного аккаунта и несанкционированному доступу к данным, включая информацию из «Битрикс» и связанных приложений, а также к распространению внутри корпоративной сети. Закрытые уязвимости теоретически позволяли удалённое выполнение кода ( RCE ) при наличии доступа. Недостатки BDU:2025-08663 и BDU:2025-08662 (оценка 7,1 CVSS 4.0) были связаны с неправильным управлением привилегиями и Path Traversal в версии 25.100.300.
Рекомендовано обновить модули: main — до 25.100.400 , fileman — до 24.500.100 или выше. По словам Дмитрия Прохорова, ошибки небезопасной десериализации могли позволить злоумышленнику закрепиться в системе, читать локальные файлы, исходный код, токены и пароли к другим ресурсам.
Всеволод Дергунов выявил уязвимости в модуле iblock для работы с информационными блоками. Обновление до версии 24.300.100 устраняет BDU:2025-08664 и BDU:2025-08665 (Relative Path Traversal, 6,9 CVSS) и BDU:2025-08666 (PHP Local File Inclusion, 8,9 CVSS). Эти ошибки могли использоваться только авторизованным пользователем с правами управления инфоблоками.
Возможность указывать некорректные пути в настройках инфоблоков открывала доступ к конфигурациям системы и сторонних приложений, но требовала действительных учётных данных и высоких привилегий. По словам Дергунова, через BDU:2025-08666 атакующий мог загрузить и запустить вредоносный код, закрепившись в сети.
Леонид Плетнёв, бизнес-партнёр по ИБ 1С-Битрикс, подчеркнул важность своевременной установки обновлений, использования сложных паролей и двухфакторной аутентификации.