Всем привет!
Нам поступила достаточно важная новость об уязвимости в платформе Битрикс — 10 из 10 по шкале опасности!
В CMS 1С-Битрикс: Управление исправлена критическая узявимость модуля landing с оценкой CVSS: 10/10.
Уязвимости подтверждены все версии ПО до 23.850.0. Она вызвана проблемами синхронизации при использовании общего ресурса.
Эксплуатация может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.
1С-Битрикс достаточно оперативно смога выпустить исправления, но напрочь позабыв, видимо, уведомить своих клиентов.
Пользователям рекомендуется как можно скорее обновиться до актуальных версий, а также ограничить доступ с определенных адресов для модулей управления.
Оператор ответит на вопросы: @CheapBitrix
Всегда ваш — #Доступный_Битрикс #Уязвимости_Битрикс
Нам поступила достаточно важная новость об уязвимости в платформе Битрикс — 10 из 10 по шкале опасности!
В CMS 1С-Битрикс: Управление исправлена критическая узявимость модуля landing с оценкой CVSS: 10/10.
Уязвимости подтверждены все версии ПО до 23.850.0. Она вызвана проблемами синхронизации при использовании общего ресурса.
Эксплуатация может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.
1С-Битрикс достаточно оперативно смога выпустить исправления, но напрочь позабыв, видимо, уведомить своих клиентов.
Пользователям рекомендуется как можно скорее обновиться до актуальных версий, а также ограничить доступ с определенных адресов для модулей управления.
Оператор ответит на вопросы: @CheapBitrix
Всегда ваш — #Доступный_Битрикс #Уязвимости_Битрикс
dev.1c-bitrix.ru
1С-Битрикс Разработчикам - История версий
Документация по продуктам компании: CMS, корпоративный портал
Всем привет!
И снова очень важные новости в сфере безопасности… Пора срочно обновляться!
В Битрикс24 v22.0.300 обнаружены многочисленные уязвимости повышенной опасности. К ним относятся удаленное выполнение команд, межсайтовый скриптинг, подмена прототипов, небезопасный доступ к файлам и отказ в обслуживании.
🔗 CVE-2023-1713 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное создание временных файлов.
Небезопасное создание временных файлов в файле bitrix/modules/crm/lib/order/import/instagram.php в Битрикс24 22.0.300, размещенном на HTTP-сервере Apache, позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через загрузку созданного файла ".htaccess".
🔗 CVE-2023-1714 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное извлечение переменных.
Небезопасное извлечение переменных в файле bitrix/modules/main/classes/general/user_options.php в Битрикс24 22.0.300 позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через (1) добавление произвольного содержимого в существующие PHP-файлы или (2) десериализацию PHAR.
🔗 CVE-2023-1715 (XSS) November 1, 2023 — (CVE-2023-1715 & CVE-2023-1716) Bitrix24 Stored Cross-Site Scripting (XSS) via Improper Input Neutralization on Invoice Edit Page.
(CVE-2023-1715): Логическая ошибка при использовании функции mb_strpos() для проверки потенциальной XSS полезной нагрузки в Битрикс24 22.0.300 позволяет злоумышленникам обойти XSS-санитарию путем размещения HTML-тегов в начале полезной нагрузки. (CVE-2023-1716): Межсайтовая скриптинговая (XSS) уязвимость в странице редактирования счетов-фактур в Битрикс24 22.0.300 позволяет злоумышленникам выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва имеет привилегии администратора.
🔗 CVE-2023-1717 (XSS) November 1, 2023 — Межсайтовый скриптинг (XSS) в Битрикс24 через уязвимость прототипа на стороне клиента
Загрязнение прототипов в bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js в Битрикс24 22.0.300 позволяет удаленным злоумышленникам через загрязнение __proto__[tag] и __proto__[text] выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва обладает привилегиями администратора.
🔗 CVE-2023-1718 (DoS) — Bitrix24 Denial-of-Service (DoS) via Improper File Stream Access
Некорректный доступ к файловому потоку в файле /desktop_app/file.ajax.php?action=uploadfile в Битрикс24 22.0.300 позволяет неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании с помощью созданного "tmp_url".
🔗 CVE-2023-1719 (IDOR) — Небезопасное извлечение глобальных переменных в Битрикс24
Извлечение глобальных переменных в файле bitrix/modules/main/tools.php в Битрикс24 22.0.300 позволяет неавторизованным удаленным злоумышленникам (1) перечислить вложения на сервере и (2) выполнить произвольный JavaScript-код в браузере жертвы, а также, возможно, выполнить произвольный PHP-код на сервере при наличии привилегий администратора, путем перезаписи неинициализированных переменных.
Всегда ваш — #Доступный_Битрикс #Безопасный_Битрикс #Уязвимости_Битрикс
И снова очень важные новости в сфере безопасности… Пора срочно обновляться!
В Битрикс24 v22.0.300 обнаружены многочисленные уязвимости повышенной опасности. К ним относятся удаленное выполнение команд, межсайтовый скриптинг, подмена прототипов, небезопасный доступ к файлам и отказ в обслуживании.
🔗 CVE-2023-1713 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное создание временных файлов.
Небезопасное создание временных файлов в файле bitrix/modules/crm/lib/order/import/instagram.php в Битрикс24 22.0.300, размещенном на HTTP-сервере Apache, позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через загрузку созданного файла ".htaccess".
🔗 CVE-2023-1714 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное извлечение переменных.
Небезопасное извлечение переменных в файле bitrix/modules/main/classes/general/user_options.php в Битрикс24 22.0.300 позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через (1) добавление произвольного содержимого в существующие PHP-файлы или (2) десериализацию PHAR.
🔗 CVE-2023-1715 (XSS) November 1, 2023 — (CVE-2023-1715 & CVE-2023-1716) Bitrix24 Stored Cross-Site Scripting (XSS) via Improper Input Neutralization on Invoice Edit Page.
(CVE-2023-1715): Логическая ошибка при использовании функции mb_strpos() для проверки потенциальной XSS полезной нагрузки в Битрикс24 22.0.300 позволяет злоумышленникам обойти XSS-санитарию путем размещения HTML-тегов в начале полезной нагрузки. (CVE-2023-1716): Межсайтовая скриптинговая (XSS) уязвимость в странице редактирования счетов-фактур в Битрикс24 22.0.300 позволяет злоумышленникам выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва имеет привилегии администратора.
🔗 CVE-2023-1717 (XSS) November 1, 2023 — Межсайтовый скриптинг (XSS) в Битрикс24 через уязвимость прототипа на стороне клиента
Загрязнение прототипов в bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js в Битрикс24 22.0.300 позволяет удаленным злоумышленникам через загрязнение __proto__[tag] и __proto__[text] выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва обладает привилегиями администратора.
🔗 CVE-2023-1718 (DoS) — Bitrix24 Denial-of-Service (DoS) via Improper File Stream Access
Некорректный доступ к файловому потоку в файле /desktop_app/file.ajax.php?action=uploadfile в Битрикс24 22.0.300 позволяет неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании с помощью созданного "tmp_url".
🔗 CVE-2023-1719 (IDOR) — Небезопасное извлечение глобальных переменных в Битрикс24
Извлечение глобальных переменных в файле bitrix/modules/main/tools.php в Битрикс24 22.0.300 позволяет неавторизованным удаленным злоумышленникам (1) перечислить вложения на сервере и (2) выполнить произвольный JavaScript-код в браузере жертвы, а также, возможно, выполнить произвольный PHP-код на сервере при наличии привилегий администратора, путем перезаписи неинициализированных переменных.
Всегда ваш — #Доступный_Битрикс #Безопасный_Битрикс #Уязвимости_Битрикс
👍1
По многочисленным просьбам акция со скидками 11.11 — скидки до 90% на ряд товаров. Спрашивайте в личке: @CheapBitrix
Привет! Кто успел, тот обновил!
Хватай быстренько купон с обновлениями на год:
ENQ5-4FFY-X4J9
abricos.chatgpt
Хватай быстренько купон с обновлениями на год:
ENQ5-4FFY-X4J9
abricos.chatgpt
MSLZ-SEJL-3LC2
acrit.cleanmaster
acrit.cleanmaster
Смею добавить. Не успел поймать купон, скидка — 90% на обновление решения на год.DAB2-NKFL-WCD
ranx.landing
Ranx Creator - Конструктор сайтов и посадочных страниц с регионами, корзиной и онлайн-оплатой
Угадай последнюю букву латинской буквы!!!
ranx.landing
Ranx Creator - Конструктор сайтов и посадочных страниц с регионами, корзиной и онлайн-оплатой
Угадай последнюю букву латинской буквы!!!
👍1
Охота за купонами)
HZ8L-J495-FK5
esol.redirector
Угадай последнюю букву латинской буквы!!!
HZ8L-J495-FK5
esol.redirector
Угадай последнюю букву латинской буквы!!!
esol.redirector
Редиректы, поиск битых ссылок (ошибок 404)
Решение предназначено для настройки редиректов вручную, а также в автоматическом режиме при изменении адресов страниц элементов (товаров) и разделов инфоблока, сбора и анализа информации по страницам 404.
Возможности модуля:
1) Ручное создание редиректов со статусом 301 или 302.
2) Автоматическое создание редиректов при изменении адреса страниц элементов (товаров) и разделов инфоблока.
3) Один редирект для раздела и всех его вложенных страниц.
4) Возможность создания редиректов, которые будут применяться только при статусе страницы 404.
5) Запись количества переходов и даты последнего перехода по каждому редиректу.
6) Редирект с http на https или наоборот.
7) Редирект на страницы со слешем (/) на конце или без слеша.
8) Удаление задвоенных слешей из url-адреса.
9) Редирект на домен с www или без www
10) Редирект на адреса в нижнем регистре.
11) Удаление index.php (index.html) из адреса страницы
12) Поддержка многосайтовости (для общих настроек модуля и в каждом конкретном редиректе).
13) Редирект со всех страниц 404 на родительский раздел или на главную страницу.
14) Сбор статистики по ошибкам 404 (включая информацию по количеству посещений страницы, дате первого и последнего посещения, user-агенту, referer и ip-адресу последнего посещения).
15) Возможность использовать регулярные выражения в редиректах.
16) Импорт редиректов из Excel-файла.
17) Редирект на актуальные js и css-файлы шаблона (помогает избежать открытия страниц без стилей в композитном режиме сайта, когда в исходном коде страницы содержатся ссылки на старые js и css-файлы, которых уже не существует).
Редиректы, поиск битых ссылок (ошибок 404)
Решение предназначено для настройки редиректов вручную, а также в автоматическом режиме при изменении адресов страниц элементов (товаров) и разделов инфоблока, сбора и анализа информации по страницам 404.
Возможности модуля:
1) Ручное создание редиректов со статусом 301 или 302.
2) Автоматическое создание редиректов при изменении адреса страниц элементов (товаров) и разделов инфоблока.
3) Один редирект для раздела и всех его вложенных страниц.
4) Возможность создания редиректов, которые будут применяться только при статусе страницы 404.
5) Запись количества переходов и даты последнего перехода по каждому редиректу.
6) Редирект с http на https или наоборот.
7) Редирект на страницы со слешем (/) на конце или без слеша.
8) Удаление задвоенных слешей из url-адреса.
9) Редирект на домен с www или без www
10) Редирект на адреса в нижнем регистре.
11) Удаление index.php (index.html) из адреса страницы
12) Поддержка многосайтовости (для общих настроек модуля и в каждом конкретном редиректе).
13) Редирект со всех страниц 404 на родительский раздел или на главную страницу.
14) Сбор статистики по ошибкам 404 (включая информацию по количеству посещений страницы, дате первого и последнего посещения, user-агенту, referer и ip-адресу последнего посещения).
15) Возможность использовать регулярные выражения в редиректах.
16) Импорт редиректов из Excel-файла.
17) Редирект на актуальные js и css-файлы шаблона (помогает избежать открытия страниц без стилей в композитном режиме сайта, когда в исходном коде страницы содержатся ссылки на старые js и css-файлы, которых уже не существует).
❤1🔥1
В личку приходят сообщения, дайте больше информации о безопасности.. И это очень интересная тема. Защитить себя и заработать на этом для наших клиентов!
❤1
K32V-TRQA-3YMK
acrit.seo
SEO - монитор качества + Инструменты оптимизации
https://marketplace.1c-bitrix.ru/solutions/acrit.seo/
acrit.seo
SEO - монитор качества + Инструменты оптимизации
https://marketplace.1c-bitrix.ru/solutions/acrit.seo/
marketplace.1c-bitrix.ru
1С-Битрикс - SEO - монитор качества + Инструменты оптимизации
модули для битрикс
Друзья, если мы постим купон без цифры, активнее перебирайте номера... Не сдавайтесь!
К слову!
Идет массовый брут телеграм аккаунтов на одноразовых номерах. Поставьте 2фа. Берегите близких.
К слову!
Идет массовый брут телеграм аккаунтов на одноразовых номерах. Поставьте 2фа. Берегите близких.
💩5
Голосуем за приложение из Маркетплейс. Пишите в личку, что бы вы хотели разыграть?