Всем привет!
Мы собираемся обновить в нашу базу решение sotbit.seometa.
Но помните, данное решение очень настойчиво требует версию php 7.4.
Для этого вам необходимо — либо обновить ваше окружение и поднять версию php, либо не обновлять sotbit.seometa. Возможен белый экран.
Не забывайте про резервные копии.
Ваш #Доступный_Битрикс!
Мы собираемся обновить в нашу базу решение sotbit.seometa.
Но помните, данное решение очень настойчиво требует версию php 7.4.
Для этого вам необходимо — либо обновить ваше окружение и поднять версию php, либо не обновлять sotbit.seometa. Возможен белый экран.
Не забывайте про резервные копии.
Ваш #Доступный_Битрикс!
Привет друзья!
У нас для вас сразу две приятные новости!!!
Первая — мы наконец-то создали и опубликовали всеми долгожданный чат-бот проекта Доступный Битрикс.
В нем можно быстро и очень легко оформить купоны, а так же искать в удобной форме все доступные решения на текущий момент по нашему каталогу.
Так же бот научился высылать доступные модули в виде списка в текстовом формате.
Покажет вам ваши купоны, которые вы оформляли.
Да и просто он очень удобный. 🙂
Именно из-за первой новости появилась вторая.
Давайте вместе обкатаем бота!
Мы объявляем Мега распродажу со скидкой -40% на всё.
Такого еще не было!
-40% на пакетные предложения;
-40% на модули;
-40% на шаблоны.
Акция будет длиться с 9-го до 13-го июля.
Лови жару!
И самое главное! ВОТ НАШ БОТ:
@BxProjectBot
Просим любить и жаловать!
Всегда ваш — #Доступный_Битрикс
У нас для вас сразу две приятные новости!!!
Первая — мы наконец-то создали и опубликовали всеми долгожданный чат-бот проекта Доступный Битрикс.
В нем можно быстро и очень легко оформить купоны, а так же искать в удобной форме все доступные решения на текущий момент по нашему каталогу.
Так же бот научился высылать доступные модули в виде списка в текстовом формате.
Покажет вам ваши купоны, которые вы оформляли.
Да и просто он очень удобный. 🙂
Именно из-за первой новости появилась вторая.
Давайте вместе обкатаем бота!
Мы объявляем Мега распродажу со скидкой -40% на всё.
Такого еще не было!
-40% на пакетные предложения;
-40% на модули;
-40% на шаблоны.
Акция будет длиться с 9-го до 13-го июля.
Лови жару!
И самое главное! ВОТ НАШ БОТ:
@BxProjectBot
Просим любить и жаловать!
Всегда ваш — #Доступный_Битрикс
Привет друзья!
Сегодня, в вечер пятницы, мы готовы предложить вам уникальное ух ты предложение!
ranx.landing + БУС Малый бизнес
https://marketplace.1c-bitrix.ru/ranx.landing
Всего за 4500 с обновлениями на год.
Количество купонов для клиента можно взять до 4 штук. Предложение действительно до 00 часов по московскому времени. Успей до ночи!
Оформить купон можно в нашем боте: @BxProjectBot
Оператор ответит: @CheapBitrix
Всегда ваш — #Доступный_Битрикс #Черная_пятница
Сегодня, в вечер пятницы, мы готовы предложить вам уникальное ух ты предложение!
ranx.landing + БУС Малый бизнес
https://marketplace.1c-bitrix.ru/ranx.landing
Всего за 4500 с обновлениями на год.
Количество купонов для клиента можно взять до 4 штук. Предложение действительно до 00 часов по московскому времени. Успей до ночи!
Оформить купон можно в нашем боте: @BxProjectBot
Оператор ответит: @CheapBitrix
Всегда ваш — #Доступный_Битрикс #Черная_пятница
marketplace.1c-bitrix.ru
1С-Битрикс - Ranx Creator - Конструктор сайтов и посадочных страниц с регионами, корзиной и онлайн-оплатой
модули для битрикс
Что же… По многочисленным просьбам в вечерний марафон вступает пакетное предложение Шаблон на выбор + Коробочная редакция Битрикс 24 — корпоративный портал на 50 пользователей по общей стоимости 17700 руб.
Предложение действует до 00 часов по московскому времени.
Оформить два раздельных купона можно в нашем боте: @BxProjectBot
Оператор ответит: @CheapBitrix
Всегда ваш — #Доступный_Битрикс #Черная_пятница
Предложение действует до 00 часов по московскому времени.
Оформить два раздельных купона можно в нашем боте: @BxProjectBot
Оператор ответит: @CheapBitrix
Всегда ваш — #Доступный_Битрикс #Черная_пятница
Проект «Доступный Битрикс» поздравляет всех женщин, а также девушек и девочек, с Женским весенним праздником! Желает счастья, любви, здоровья, мира, всяческих благ и .... наличия здравого смысла у мужчин, которые вас окружают.
Вместе с поздравлениями мы открываем двухдневную акцию предложение. В акции принимают участие три предложения.
1. Пакетное предложение Шаблон на выбор, которое превращается в «Любой шаблон на выбор» имеющийся в нашем арсенале. Это может быть любой b2b шаблон с астрономической стоимостью, aspro.max и так далее, который не потребует дополнительных доплат.
2. ranx.landing + БУС Малый бизнес.
https://marketplace.1c-bitrix.ru/ranx.landing
Всего за 4500 с обновлениями на год.
3. Битрикс 24 на 13 пользователей за 6000 рублей.
Количество купонов для клиента можно приобрести до 4 штук. Предложение действительно до 11 марта до 12 часов по московскому времени.
Оформить купон можно в нашем боте: @BxProjectBot
Оператор ответит: @CheapBitrix
Всегда ваш — #Доступный_Битрикс
Вместе с поздравлениями мы открываем двухдневную акцию предложение. В акции принимают участие три предложения.
1. Пакетное предложение Шаблон на выбор, которое превращается в «Любой шаблон на выбор» имеющийся в нашем арсенале. Это может быть любой b2b шаблон с астрономической стоимостью, aspro.max и так далее, который не потребует дополнительных доплат.
2. ranx.landing + БУС Малый бизнес.
https://marketplace.1c-bitrix.ru/ranx.landing
Всего за 4500 с обновлениями на год.
3. Битрикс 24 на 13 пользователей за 6000 рублей.
Количество купонов для клиента можно приобрести до 4 штук. Предложение действительно до 11 марта до 12 часов по московскому времени.
Оформить купон можно в нашем боте: @BxProjectBot
Оператор ответит: @CheapBitrix
Всегда ваш — #Доступный_Битрикс
Привет друзья!
В рамках продления ряда завершаемых лицензий, нами принято решение о проведении Акции сбора складчин. Кто не успел, тот опоздал!
Старт — с текущего момента, окончание — завтра в 23:59.
1. В акции принимают участие шаблоны студии Аспро + (Центино (подразделение Аспро)) и Редсигн.
О цене:
— Категория корпоративный шаблон 👆 — 5000 рублей за любой + редакция БУС Стандарт.
— Категория любой интернет магазин 👆 — 9000 + редакция БУС Малый Бизнес.
2. По многочисленным просьбам, всем кто по каким-то причинам не успел, но очень ожидает, к акции прибавляется полюбившийся всем ranx.landing + БУС Малый бизнес — 4500.
Если у вас уже стоит какая либо редакция БУС и не требует обновления:
3. Шаблоны Аспро (Центино) Корпоративной серии обойдутся вам по цене 2500 рублей с обновлениями на пол года.
4. Шаблон aspro.max по цене 5000 рублей с обновлениями на год.
На руки не более трёх купонов.
Оформить купон можно в нашем боте: @BxProjectBot
Оператор ответит: @CheapBitrix
Всегда ваш — #Доступный_Битрикс
В рамках продления ряда завершаемых лицензий, нами принято решение о проведении Акции сбора складчин. Кто не успел, тот опоздал!
Старт — с текущего момента, окончание — завтра в 23:59.
1. В акции принимают участие шаблоны студии Аспро + (Центино (подразделение Аспро)) и Редсигн.
О цене:
— Категория корпоративный шаблон 👆 — 5000 рублей за любой + редакция БУС Стандарт.
— Категория любой интернет магазин 👆 — 9000 + редакция БУС Малый Бизнес.
2. По многочисленным просьбам, всем кто по каким-то причинам не успел, но очень ожидает, к акции прибавляется полюбившийся всем ranx.landing + БУС Малый бизнес — 4500.
Если у вас уже стоит какая либо редакция БУС и не требует обновления:
3. Шаблоны Аспро (Центино) Корпоративной серии обойдутся вам по цене 2500 рублей с обновлениями на пол года.
4. Шаблон aspro.max по цене 5000 рублей с обновлениями на год.
На руки не более трёх купонов.
Оформить купон можно в нашем боте: @BxProjectBot
Оператор ответит: @CheapBitrix
Всегда ваш — #Доступный_Битрикс
Компания Битрикс всё больше и больше пытается контролировать свои коробочные продукты. Если раньше лицензия обеспечивала только обновления и новые функции продукта, то сейчас просроченная лицензия убивает часть важного функционала купленного продукта.
Кроме этого компания пытается контролировать не только сам продукт, но и данные, которые пользователи вносят.
Все общение по открытым линиям Битрикс24 в незашифрованном виде проходит через сервера компании Битрикс; каждый документ, который вы генерируете и отправляете контрагентам отгружается перед отправкой на сервер компании. Все сделки и их параметры попадают туда же. Все SMS сообщения и номера телефонов, даже если вы их отправляете через сторонние сервисы, тоже проходят через сервера компании Битрикс. Очевидно, если вы пользуетесь облаком, то вы согласны с таким раскладом. А вот если вы ставите себе коробочную версию, платите сотни тыс. рублей или тысячи долларов за то, что “ваши данные под контролем”, то это полная иллюзия.
Небольшой обзор того, куда и что “коробка” шлет:
1. REST методы и события, локальные приложения, приложения из маркетплейса (oauth.bitrix.info)
2. Конвертирование файлов, который используется для генерации PDF файлов из DOCX (transformer-de.bitrix.info, transformer.bitrix.info)
3. Подключение открытых линий к чат-ботам и социальным сетям, кроме Онлайн-чата(im.bitrix.info)
4. Сайты24 (ip.bitrix24.site, lb.bitrix24.site, cdn.bitrix24.site, repo.bitrix24.site)
5. Службы доставки (saleservices.bitrix.info)
6. Облачный Push&Pull Сервер (rtc-cloud.bitrix.info)
7. Работа телефонии через SIP-коннектор. (telephony-ru.bitrix.info, telephony.bitrix.info)
8. Поиск по базе ИНН, автозаполнение реквизитов по ИНН (properties.bitrix.info)
9. Работа чат-ботов Битрикс24 (marta.bitrix.info)
10. Слив аналитики (analytics.bitrix.info)
11. Машинное обучение для расчета вероятности успеха для лидов и сделок CRM (скоринг в CRM)(ml.bitrix.info)
12. Автобюджет контекста в Яндекс.Директ, Яндекс Толока, в том числе публикация рекламы на рекламных площадках. (cloud-adv.bitrix.info)
13. Интеграция с сервисом Zoom (zoom.bitrix.info)
14. Товарная интеграция с instagram (store-connect.bitrix.info)
15. FaceId, распознавание лиц, bitrix24.time, face-tracker, visit-tracker (faceid.bitrix.info)
Из этих всех сервисов часть является критичной для использования продукта, а часть можно смело блокировать через DNS или /etc/hosts.
Кроме этого компания пытается контролировать не только сам продукт, но и данные, которые пользователи вносят.
Все общение по открытым линиям Битрикс24 в незашифрованном виде проходит через сервера компании Битрикс; каждый документ, который вы генерируете и отправляете контрагентам отгружается перед отправкой на сервер компании. Все сделки и их параметры попадают туда же. Все SMS сообщения и номера телефонов, даже если вы их отправляете через сторонние сервисы, тоже проходят через сервера компании Битрикс. Очевидно, если вы пользуетесь облаком, то вы согласны с таким раскладом. А вот если вы ставите себе коробочную версию, платите сотни тыс. рублей или тысячи долларов за то, что “ваши данные под контролем”, то это полная иллюзия.
Небольшой обзор того, куда и что “коробка” шлет:
1. REST методы и события, локальные приложения, приложения из маркетплейса (oauth.bitrix.info)
2. Конвертирование файлов, который используется для генерации PDF файлов из DOCX (transformer-de.bitrix.info, transformer.bitrix.info)
3. Подключение открытых линий к чат-ботам и социальным сетям, кроме Онлайн-чата(im.bitrix.info)
4. Сайты24 (ip.bitrix24.site, lb.bitrix24.site, cdn.bitrix24.site, repo.bitrix24.site)
5. Службы доставки (saleservices.bitrix.info)
6. Облачный Push&Pull Сервер (rtc-cloud.bitrix.info)
7. Работа телефонии через SIP-коннектор. (telephony-ru.bitrix.info, telephony.bitrix.info)
8. Поиск по базе ИНН, автозаполнение реквизитов по ИНН (properties.bitrix.info)
9. Работа чат-ботов Битрикс24 (marta.bitrix.info)
10. Слив аналитики (analytics.bitrix.info)
11. Машинное обучение для расчета вероятности успеха для лидов и сделок CRM (скоринг в CRM)(ml.bitrix.info)
12. Автобюджет контекста в Яндекс.Директ, Яндекс Толока, в том числе публикация рекламы на рекламных площадках. (cloud-adv.bitrix.info)
13. Интеграция с сервисом Zoom (zoom.bitrix.info)
14. Товарная интеграция с instagram (store-connect.bitrix.info)
15. FaceId, распознавание лиц, bitrix24.time, face-tracker, visit-tracker (faceid.bitrix.info)
Из этих всех сервисов часть является критичной для использования продукта, а часть можно смело блокировать через DNS или /etc/hosts.
Именно поэтому мы разработали модуль, который позволяет весь этот трафик завернуть на себя, и не слать ничего критичного на сторонние сервера.
В модуле RestInPeace мы завернули первые 4 пункта на локальные сервисы, и теперь данные, которые отсылались на сервера компании Битрикс, не покидают вашего сервера.
1. REST методы и события, локальные приложения, приложения из маркетплейса (oauth.bitrix.info)
Это один из ключевых способов для компании Битрикс контролировать коробку Битрикс24. Практически каждое действие, которое производится на платформе, и которое подразумевает взаимодействие с внешним миром, проходит через сервер авторизации. При этом туда же сливается достаточно много данных: номера телефонов, объемы сделок, статусы, тексты сообщений и т.п.
Данный модуль реализовывает обходной путь для REST API, что позволяет работать многим функциям без обращения к oauth.bitrix.info.
2. Сервис конвертирования файлов, который используется для генерации PDF файлов из DOCX (transformer-de.bitrix.info, transformer.bitrix.info)
Каждый раз для генерации PDF документа, коробка отправляет DOCX файл на удаленный сервер, который выдает PDF-ку и JPG картинку превью этого документа.
Целесообразность этого действия очень спорная, кроме этого, это прямой слив чувствительной информации на сервера компании Битрикс.
В данном модуле реализована возможность конвертации документов локально, без отправки на чужие сервисы.
3. Подключение открытых линий к чат-ботам и социальным сетям, кроме Онлайн-чата(im.bitrix.info)
При подключении чат-ботов, платформе, которая предоставляет эти функции (телеграм, вайбер, инстаграм и т.п.) отправляется адрес вебхука, который будет обслуживать входящие сообщения от пользователей бота.
Этот функционал почему-то реализован через сервера компании Битрикс. В результате, через них открытым тестом и без шифрования проходит всё общение с вашими клиентами.
В даном модуле реализовано подключение к Viber и Telegram напрямую, без использования серверов компании Битрикс.
4. Сайты24 (ip.bitrix24.site, lb.bitrix24.site, cdn.bitrix24.site, repo.bitrix24.site)
Для публикации сайта функционала Сайты24 используются DNS сервера компании Битрикс. Это позволяет им собирать статистику обращений у сайту, даже если он физически не хостится на контролируемых серверах. Данный модуль позволяет публиковать сайт напрямую через собственные DNS сервера и настройки NGINX.
Стоимость модуля: экв. 200 USDT. Продление на год - 75 USDT
Спрашивайте в личных сообщениях (@CheapBitrix).
В модуле RestInPeace мы завернули первые 4 пункта на локальные сервисы, и теперь данные, которые отсылались на сервера компании Битрикс, не покидают вашего сервера.
1. REST методы и события, локальные приложения, приложения из маркетплейса (oauth.bitrix.info)
Это один из ключевых способов для компании Битрикс контролировать коробку Битрикс24. Практически каждое действие, которое производится на платформе, и которое подразумевает взаимодействие с внешним миром, проходит через сервер авторизации. При этом туда же сливается достаточно много данных: номера телефонов, объемы сделок, статусы, тексты сообщений и т.п.
Данный модуль реализовывает обходной путь для REST API, что позволяет работать многим функциям без обращения к oauth.bitrix.info.
2. Сервис конвертирования файлов, который используется для генерации PDF файлов из DOCX (transformer-de.bitrix.info, transformer.bitrix.info)
Каждый раз для генерации PDF документа, коробка отправляет DOCX файл на удаленный сервер, который выдает PDF-ку и JPG картинку превью этого документа.
Целесообразность этого действия очень спорная, кроме этого, это прямой слив чувствительной информации на сервера компании Битрикс.
В данном модуле реализована возможность конвертации документов локально, без отправки на чужие сервисы.
3. Подключение открытых линий к чат-ботам и социальным сетям, кроме Онлайн-чата(im.bitrix.info)
При подключении чат-ботов, платформе, которая предоставляет эти функции (телеграм, вайбер, инстаграм и т.п.) отправляется адрес вебхука, который будет обслуживать входящие сообщения от пользователей бота.
Этот функционал почему-то реализован через сервера компании Битрикс. В результате, через них открытым тестом и без шифрования проходит всё общение с вашими клиентами.
В даном модуле реализовано подключение к Viber и Telegram напрямую, без использования серверов компании Битрикс.
4. Сайты24 (ip.bitrix24.site, lb.bitrix24.site, cdn.bitrix24.site, repo.bitrix24.site)
Для публикации сайта функционала Сайты24 используются DNS сервера компании Битрикс. Это позволяет им собирать статистику обращений у сайту, даже если он физически не хостится на контролируемых серверах. Данный модуль позволяет публиковать сайт напрямую через собственные DNS сервера и настройки NGINX.
Стоимость модуля: экв. 200 USDT. Продление на год - 75 USDT
Спрашивайте в личных сообщениях (@CheapBitrix).
Всем привет!
Нам поступила достаточно важная новость об уязвимости в платформе Битрикс — 10 из 10 по шкале опасности!
В CMS 1С-Битрикс: Управление исправлена критическая узявимость модуля landing с оценкой CVSS: 10/10.
Уязвимости подтверждены все версии ПО до 23.850.0. Она вызвана проблемами синхронизации при использовании общего ресурса.
Эксплуатация может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.
1С-Битрикс достаточно оперативно смога выпустить исправления, но напрочь позабыв, видимо, уведомить своих клиентов.
Пользователям рекомендуется как можно скорее обновиться до актуальных версий, а также ограничить доступ с определенных адресов для модулей управления.
Оператор ответит на вопросы: @CheapBitrix
Всегда ваш — #Доступный_Битрикс #Уязвимости_Битрикс
Нам поступила достаточно важная новость об уязвимости в платформе Битрикс — 10 из 10 по шкале опасности!
В CMS 1С-Битрикс: Управление исправлена критическая узявимость модуля landing с оценкой CVSS: 10/10.
Уязвимости подтверждены все версии ПО до 23.850.0. Она вызвана проблемами синхронизации при использовании общего ресурса.
Эксплуатация может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.
1С-Битрикс достаточно оперативно смога выпустить исправления, но напрочь позабыв, видимо, уведомить своих клиентов.
Пользователям рекомендуется как можно скорее обновиться до актуальных версий, а также ограничить доступ с определенных адресов для модулей управления.
Оператор ответит на вопросы: @CheapBitrix
Всегда ваш — #Доступный_Битрикс #Уязвимости_Битрикс
dev.1c-bitrix.ru
1С-Битрикс Разработчикам - История версий
Документация по продуктам компании: CMS, корпоративный портал
Всем привет!
И снова очень важные новости в сфере безопасности… Пора срочно обновляться!
В Битрикс24 v22.0.300 обнаружены многочисленные уязвимости повышенной опасности. К ним относятся удаленное выполнение команд, межсайтовый скриптинг, подмена прототипов, небезопасный доступ к файлам и отказ в обслуживании.
🔗 CVE-2023-1713 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное создание временных файлов.
Небезопасное создание временных файлов в файле bitrix/modules/crm/lib/order/import/instagram.php в Битрикс24 22.0.300, размещенном на HTTP-сервере Apache, позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через загрузку созданного файла ".htaccess".
🔗 CVE-2023-1714 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное извлечение переменных.
Небезопасное извлечение переменных в файле bitrix/modules/main/classes/general/user_options.php в Битрикс24 22.0.300 позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через (1) добавление произвольного содержимого в существующие PHP-файлы или (2) десериализацию PHAR.
🔗 CVE-2023-1715 (XSS) November 1, 2023 — (CVE-2023-1715 & CVE-2023-1716) Bitrix24 Stored Cross-Site Scripting (XSS) via Improper Input Neutralization on Invoice Edit Page.
(CVE-2023-1715): Логическая ошибка при использовании функции mb_strpos() для проверки потенциальной XSS полезной нагрузки в Битрикс24 22.0.300 позволяет злоумышленникам обойти XSS-санитарию путем размещения HTML-тегов в начале полезной нагрузки. (CVE-2023-1716): Межсайтовая скриптинговая (XSS) уязвимость в странице редактирования счетов-фактур в Битрикс24 22.0.300 позволяет злоумышленникам выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва имеет привилегии администратора.
🔗 CVE-2023-1717 (XSS) November 1, 2023 — Межсайтовый скриптинг (XSS) в Битрикс24 через уязвимость прототипа на стороне клиента
Загрязнение прототипов в bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js в Битрикс24 22.0.300 позволяет удаленным злоумышленникам через загрязнение __proto__[tag] и __proto__[text] выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва обладает привилегиями администратора.
🔗 CVE-2023-1718 (DoS) — Bitrix24 Denial-of-Service (DoS) via Improper File Stream Access
Некорректный доступ к файловому потоку в файле /desktop_app/file.ajax.php?action=uploadfile в Битрикс24 22.0.300 позволяет неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании с помощью созданного "tmp_url".
🔗 CVE-2023-1719 (IDOR) — Небезопасное извлечение глобальных переменных в Битрикс24
Извлечение глобальных переменных в файле bitrix/modules/main/tools.php в Битрикс24 22.0.300 позволяет неавторизованным удаленным злоумышленникам (1) перечислить вложения на сервере и (2) выполнить произвольный JavaScript-код в браузере жертвы, а также, возможно, выполнить произвольный PHP-код на сервере при наличии привилегий администратора, путем перезаписи неинициализированных переменных.
Всегда ваш — #Доступный_Битрикс #Безопасный_Битрикс #Уязвимости_Битрикс
И снова очень важные новости в сфере безопасности… Пора срочно обновляться!
В Битрикс24 v22.0.300 обнаружены многочисленные уязвимости повышенной опасности. К ним относятся удаленное выполнение команд, межсайтовый скриптинг, подмена прототипов, небезопасный доступ к файлам и отказ в обслуживании.
🔗 CVE-2023-1713 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное создание временных файлов.
Небезопасное создание временных файлов в файле bitrix/modules/crm/lib/order/import/instagram.php в Битрикс24 22.0.300, размещенном на HTTP-сервере Apache, позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через загрузку созданного файла ".htaccess".
🔗 CVE-2023-1714 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное извлечение переменных.
Небезопасное извлечение переменных в файле bitrix/modules/main/classes/general/user_options.php в Битрикс24 22.0.300 позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через (1) добавление произвольного содержимого в существующие PHP-файлы или (2) десериализацию PHAR.
🔗 CVE-2023-1715 (XSS) November 1, 2023 — (CVE-2023-1715 & CVE-2023-1716) Bitrix24 Stored Cross-Site Scripting (XSS) via Improper Input Neutralization on Invoice Edit Page.
(CVE-2023-1715): Логическая ошибка при использовании функции mb_strpos() для проверки потенциальной XSS полезной нагрузки в Битрикс24 22.0.300 позволяет злоумышленникам обойти XSS-санитарию путем размещения HTML-тегов в начале полезной нагрузки. (CVE-2023-1716): Межсайтовая скриптинговая (XSS) уязвимость в странице редактирования счетов-фактур в Битрикс24 22.0.300 позволяет злоумышленникам выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва имеет привилегии администратора.
🔗 CVE-2023-1717 (XSS) November 1, 2023 — Межсайтовый скриптинг (XSS) в Битрикс24 через уязвимость прототипа на стороне клиента
Загрязнение прототипов в bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js в Битрикс24 22.0.300 позволяет удаленным злоумышленникам через загрязнение __proto__[tag] и __proto__[text] выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва обладает привилегиями администратора.
🔗 CVE-2023-1718 (DoS) — Bitrix24 Denial-of-Service (DoS) via Improper File Stream Access
Некорректный доступ к файловому потоку в файле /desktop_app/file.ajax.php?action=uploadfile в Битрикс24 22.0.300 позволяет неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании с помощью созданного "tmp_url".
🔗 CVE-2023-1719 (IDOR) — Небезопасное извлечение глобальных переменных в Битрикс24
Извлечение глобальных переменных в файле bitrix/modules/main/tools.php в Битрикс24 22.0.300 позволяет неавторизованным удаленным злоумышленникам (1) перечислить вложения на сервере и (2) выполнить произвольный JavaScript-код в браузере жертвы, а также, возможно, выполнить произвольный PHP-код на сервере при наличии привилегий администратора, путем перезаписи неинициализированных переменных.
Всегда ваш — #Доступный_Битрикс #Безопасный_Битрикс #Уязвимости_Битрикс
По многочисленным просьбам акция со скидками 11.11 — скидки до 90% на ряд товаров. Спрашивайте в личке: @CheapBitrix
Привет! Кто успел, тот обновил!
Хватай быстренько купон с обновлениями на год:
ENQ5-4FFY-X4J9
abricos.chatgpt
Хватай быстренько купон с обновлениями на год:
ENQ5-4FFY-X4J9
abricos.chatgpt
MSLZ-SEJL-3LC2
acrit.cleanmaster
acrit.cleanmaster
Смею добавить. Не успел поймать купон, скидка — 90% на обновление решения на год.DAB2-NKFL-WCD
ranx.landing
Ranx Creator - Конструктор сайтов и посадочных страниц с регионами, корзиной и онлайн-оплатой
Угадай последнюю букву латинской буквы!!!
ranx.landing
Ranx Creator - Конструктор сайтов и посадочных страниц с регионами, корзиной и онлайн-оплатой
Угадай последнюю букву латинской буквы!!!
Охота за купонами)
HZ8L-J495-FK5
esol.redirector
Угадай последнюю букву латинской буквы!!!
HZ8L-J495-FK5
esol.redirector
Угадай последнюю букву латинской буквы!!!
esol.redirector
Редиректы, поиск битых ссылок (ошибок 404)
Решение предназначено для настройки редиректов вручную, а также в автоматическом режиме при изменении адресов страниц элементов (товаров) и разделов инфоблока, сбора и анализа информации по страницам 404.
Возможности модуля:
1) Ручное создание редиректов со статусом 301 или 302.
2) Автоматическое создание редиректов при изменении адреса страниц элементов (товаров) и разделов инфоблока.
3) Один редирект для раздела и всех его вложенных страниц.
4) Возможность создания редиректов, которые будут применяться только при статусе страницы 404.
5) Запись количества переходов и даты последнего перехода по каждому редиректу.
6) Редирект с http на https или наоборот.
7) Редирект на страницы со слешем (/) на конце или без слеша.
8) Удаление задвоенных слешей из url-адреса.
9) Редирект на домен с www или без www
10) Редирект на адреса в нижнем регистре.
11) Удаление index.php (index.html) из адреса страницы
12) Поддержка многосайтовости (для общих настроек модуля и в каждом конкретном редиректе).
13) Редирект со всех страниц 404 на родительский раздел или на главную страницу.
14) Сбор статистики по ошибкам 404 (включая информацию по количеству посещений страницы, дате первого и последнего посещения, user-агенту, referer и ip-адресу последнего посещения).
15) Возможность использовать регулярные выражения в редиректах.
16) Импорт редиректов из Excel-файла.
17) Редирект на актуальные js и css-файлы шаблона (помогает избежать открытия страниц без стилей в композитном режиме сайта, когда в исходном коде страницы содержатся ссылки на старые js и css-файлы, которых уже не существует).
Редиректы, поиск битых ссылок (ошибок 404)
Решение предназначено для настройки редиректов вручную, а также в автоматическом режиме при изменении адресов страниц элементов (товаров) и разделов инфоблока, сбора и анализа информации по страницам 404.
Возможности модуля:
1) Ручное создание редиректов со статусом 301 или 302.
2) Автоматическое создание редиректов при изменении адреса страниц элементов (товаров) и разделов инфоблока.
3) Один редирект для раздела и всех его вложенных страниц.
4) Возможность создания редиректов, которые будут применяться только при статусе страницы 404.
5) Запись количества переходов и даты последнего перехода по каждому редиректу.
6) Редирект с http на https или наоборот.
7) Редирект на страницы со слешем (/) на конце или без слеша.
8) Удаление задвоенных слешей из url-адреса.
9) Редирект на домен с www или без www
10) Редирект на адреса в нижнем регистре.
11) Удаление index.php (index.html) из адреса страницы
12) Поддержка многосайтовости (для общих настроек модуля и в каждом конкретном редиректе).
13) Редирект со всех страниц 404 на родительский раздел или на главную страницу.
14) Сбор статистики по ошибкам 404 (включая информацию по количеству посещений страницы, дате первого и последнего посещения, user-агенту, referer и ip-адресу последнего посещения).
15) Возможность использовать регулярные выражения в редиректах.
16) Импорт редиректов из Excel-файла.
17) Редирект на актуальные js и css-файлы шаблона (помогает избежать открытия страниц без стилей в композитном режиме сайта, когда в исходном коде страницы содержатся ссылки на старые js и css-файлы, которых уже не существует).
В личку приходят сообщения, дайте больше информации о безопасности.. И это очень интересная тема. Защитить себя и заработать на этом для наших клиентов!