Всем привет!
И снова очень важные новости в сфере безопасности… Пора срочно обновляться!
В Битрикс24 v22.0.300 обнаружены многочисленные уязвимости повышенной опасности. К ним относятся удаленное выполнение команд, межсайтовый скриптинг, подмена прототипов, небезопасный доступ к файлам и отказ в обслуживании.
🔗 CVE-2023-1713 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное создание временных файлов.
Небезопасное создание временных файлов в файле bitrix/modules/crm/lib/order/import/instagram.php в Битрикс24 22.0.300, размещенном на HTTP-сервере Apache, позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через загрузку созданного файла ".htaccess".
🔗 CVE-2023-1714 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное извлечение переменных.
Небезопасное извлечение переменных в файле bitrix/modules/main/classes/general/user_options.php в Битрикс24 22.0.300 позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через (1) добавление произвольного содержимого в существующие PHP-файлы или (2) десериализацию PHAR.
🔗 CVE-2023-1715 (XSS) November 1, 2023 — (CVE-2023-1715 & CVE-2023-1716) Bitrix24 Stored Cross-Site Scripting (XSS) via Improper Input Neutralization on Invoice Edit Page.
(CVE-2023-1715): Логическая ошибка при использовании функции mb_strpos() для проверки потенциальной XSS полезной нагрузки в Битрикс24 22.0.300 позволяет злоумышленникам обойти XSS-санитарию путем размещения HTML-тегов в начале полезной нагрузки. (CVE-2023-1716): Межсайтовая скриптинговая (XSS) уязвимость в странице редактирования счетов-фактур в Битрикс24 22.0.300 позволяет злоумышленникам выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва имеет привилегии администратора.
🔗 CVE-2023-1717 (XSS) November 1, 2023 — Межсайтовый скриптинг (XSS) в Битрикс24 через уязвимость прототипа на стороне клиента
Загрязнение прототипов в bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js в Битрикс24 22.0.300 позволяет удаленным злоумышленникам через загрязнение __proto__[tag] и __proto__[text] выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва обладает привилегиями администратора.
🔗 CVE-2023-1718 (DoS) — Bitrix24 Denial-of-Service (DoS) via Improper File Stream Access
Некорректный доступ к файловому потоку в файле /desktop_app/file.ajax.php?action=uploadfile в Битрикс24 22.0.300 позволяет неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании с помощью созданного "tmp_url".
🔗 CVE-2023-1719 (IDOR) — Небезопасное извлечение глобальных переменных в Битрикс24
Извлечение глобальных переменных в файле bitrix/modules/main/tools.php в Битрикс24 22.0.300 позволяет неавторизованным удаленным злоумышленникам (1) перечислить вложения на сервере и (2) выполнить произвольный JavaScript-код в браузере жертвы, а также, возможно, выполнить произвольный PHP-код на сервере при наличии привилегий администратора, путем перезаписи неинициализированных переменных.
Всегда ваш — #Доступный_Битрикс #Безопасный_Битрикс #Уязвимости_Битрикс
И снова очень важные новости в сфере безопасности… Пора срочно обновляться!
В Битрикс24 v22.0.300 обнаружены многочисленные уязвимости повышенной опасности. К ним относятся удаленное выполнение команд, межсайтовый скриптинг, подмена прототипов, небезопасный доступ к файлам и отказ в обслуживании.
🔗 CVE-2023-1713 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное создание временных файлов.
Небезопасное создание временных файлов в файле bitrix/modules/crm/lib/order/import/instagram.php в Битрикс24 22.0.300, размещенном на HTTP-сервере Apache, позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через загрузку созданного файла ".htaccess".
🔗 CVE-2023-1714 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное извлечение переменных.
Небезопасное извлечение переменных в файле bitrix/modules/main/classes/general/user_options.php в Битрикс24 22.0.300 позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через (1) добавление произвольного содержимого в существующие PHP-файлы или (2) десериализацию PHAR.
🔗 CVE-2023-1715 (XSS) November 1, 2023 — (CVE-2023-1715 & CVE-2023-1716) Bitrix24 Stored Cross-Site Scripting (XSS) via Improper Input Neutralization on Invoice Edit Page.
(CVE-2023-1715): Логическая ошибка при использовании функции mb_strpos() для проверки потенциальной XSS полезной нагрузки в Битрикс24 22.0.300 позволяет злоумышленникам обойти XSS-санитарию путем размещения HTML-тегов в начале полезной нагрузки. (CVE-2023-1716): Межсайтовая скриптинговая (XSS) уязвимость в странице редактирования счетов-фактур в Битрикс24 22.0.300 позволяет злоумышленникам выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва имеет привилегии администратора.
🔗 CVE-2023-1717 (XSS) November 1, 2023 — Межсайтовый скриптинг (XSS) в Битрикс24 через уязвимость прототипа на стороне клиента
Загрязнение прототипов в bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js в Битрикс24 22.0.300 позволяет удаленным злоумышленникам через загрязнение __proto__[tag] и __proto__[text] выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва обладает привилегиями администратора.
🔗 CVE-2023-1718 (DoS) — Bitrix24 Denial-of-Service (DoS) via Improper File Stream Access
Некорректный доступ к файловому потоку в файле /desktop_app/file.ajax.php?action=uploadfile в Битрикс24 22.0.300 позволяет неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании с помощью созданного "tmp_url".
🔗 CVE-2023-1719 (IDOR) — Небезопасное извлечение глобальных переменных в Битрикс24
Извлечение глобальных переменных в файле bitrix/modules/main/tools.php в Битрикс24 22.0.300 позволяет неавторизованным удаленным злоумышленникам (1) перечислить вложения на сервере и (2) выполнить произвольный JavaScript-код в браузере жертвы, а также, возможно, выполнить произвольный PHP-код на сервере при наличии привилегий администратора, путем перезаписи неинициализированных переменных.
Всегда ваш — #Доступный_Битрикс #Безопасный_Битрикс #Уязвимости_Битрикс
По многочисленным просьбам акция со скидками 11.11 — скидки до 90% на ряд товаров. Спрашивайте в личке: @CheapBitrix
Привет! Кто успел, тот обновил!
Хватай быстренько купон с обновлениями на год:
ENQ5-4FFY-X4J9
abricos.chatgpt
Хватай быстренько купон с обновлениями на год:
ENQ5-4FFY-X4J9
abricos.chatgpt
MSLZ-SEJL-3LC2
acrit.cleanmaster
acrit.cleanmaster
Смею добавить. Не успел поймать купон, скидка — 90% на обновление решения на год.DAB2-NKFL-WCD
ranx.landing
Ranx Creator - Конструктор сайтов и посадочных страниц с регионами, корзиной и онлайн-оплатой
Угадай последнюю букву латинской буквы!!!
ranx.landing
Ranx Creator - Конструктор сайтов и посадочных страниц с регионами, корзиной и онлайн-оплатой
Угадай последнюю букву латинской буквы!!!
Охота за купонами)
HZ8L-J495-FK5
esol.redirector
Угадай последнюю букву латинской буквы!!!
HZ8L-J495-FK5
esol.redirector
Угадай последнюю букву латинской буквы!!!
esol.redirector
Редиректы, поиск битых ссылок (ошибок 404)
Решение предназначено для настройки редиректов вручную, а также в автоматическом режиме при изменении адресов страниц элементов (товаров) и разделов инфоблока, сбора и анализа информации по страницам 404.
Возможности модуля:
1) Ручное создание редиректов со статусом 301 или 302.
2) Автоматическое создание редиректов при изменении адреса страниц элементов (товаров) и разделов инфоблока.
3) Один редирект для раздела и всех его вложенных страниц.
4) Возможность создания редиректов, которые будут применяться только при статусе страницы 404.
5) Запись количества переходов и даты последнего перехода по каждому редиректу.
6) Редирект с http на https или наоборот.
7) Редирект на страницы со слешем (/) на конце или без слеша.
8) Удаление задвоенных слешей из url-адреса.
9) Редирект на домен с www или без www
10) Редирект на адреса в нижнем регистре.
11) Удаление index.php (index.html) из адреса страницы
12) Поддержка многосайтовости (для общих настроек модуля и в каждом конкретном редиректе).
13) Редирект со всех страниц 404 на родительский раздел или на главную страницу.
14) Сбор статистики по ошибкам 404 (включая информацию по количеству посещений страницы, дате первого и последнего посещения, user-агенту, referer и ip-адресу последнего посещения).
15) Возможность использовать регулярные выражения в редиректах.
16) Импорт редиректов из Excel-файла.
17) Редирект на актуальные js и css-файлы шаблона (помогает избежать открытия страниц без стилей в композитном режиме сайта, когда в исходном коде страницы содержатся ссылки на старые js и css-файлы, которых уже не существует).
Редиректы, поиск битых ссылок (ошибок 404)
Решение предназначено для настройки редиректов вручную, а также в автоматическом режиме при изменении адресов страниц элементов (товаров) и разделов инфоблока, сбора и анализа информации по страницам 404.
Возможности модуля:
1) Ручное создание редиректов со статусом 301 или 302.
2) Автоматическое создание редиректов при изменении адреса страниц элементов (товаров) и разделов инфоблока.
3) Один редирект для раздела и всех его вложенных страниц.
4) Возможность создания редиректов, которые будут применяться только при статусе страницы 404.
5) Запись количества переходов и даты последнего перехода по каждому редиректу.
6) Редирект с http на https или наоборот.
7) Редирект на страницы со слешем (/) на конце или без слеша.
8) Удаление задвоенных слешей из url-адреса.
9) Редирект на домен с www или без www
10) Редирект на адреса в нижнем регистре.
11) Удаление index.php (index.html) из адреса страницы
12) Поддержка многосайтовости (для общих настроек модуля и в каждом конкретном редиректе).
13) Редирект со всех страниц 404 на родительский раздел или на главную страницу.
14) Сбор статистики по ошибкам 404 (включая информацию по количеству посещений страницы, дате первого и последнего посещения, user-агенту, referer и ip-адресу последнего посещения).
15) Возможность использовать регулярные выражения в редиректах.
16) Импорт редиректов из Excel-файла.
17) Редирект на актуальные js и css-файлы шаблона (помогает избежать открытия страниц без стилей в композитном режиме сайта, когда в исходном коде страницы содержатся ссылки на старые js и css-файлы, которых уже не существует).
В личку приходят сообщения, дайте больше информации о безопасности.. И это очень интересная тема. Защитить себя и заработать на этом для наших клиентов!
K32V-TRQA-3YMK
acrit.seo
SEO - монитор качества + Инструменты оптимизации
https://marketplace.1c-bitrix.ru/solutions/acrit.seo/
acrit.seo
SEO - монитор качества + Инструменты оптимизации
https://marketplace.1c-bitrix.ru/solutions/acrit.seo/
marketplace.1c-bitrix.ru
1С-Битрикс - SEO - монитор качества + Инструменты оптимизации
модули для битрикс
Друзья, если мы постим купон без цифры, активнее перебирайте номера... Не сдавайтесь!
К слову!
Идет массовый брут телеграм аккаунтов на одноразовых номерах. Поставьте 2фа. Берегите близких.
К слову!
Идет массовый брут телеграм аккаунтов на одноразовых номерах. Поставьте 2фа. Берегите близких.
Голосуем за приложение из Маркетплейс. Пишите в личку, что бы вы хотели разыграть?